病毒概述:W32.SillyFDC.BBX是一藉由自我複製至可移動式及對映裝置以進行散播的蠕蟲。它可能產生更多的惡意軟體、試圖下載檔案、降低安全設定、使某些系統軟體失效及修改某些修系統的設定。
病毒型態:蠕蟲
風險等級:等級1
影響平台:Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
說明:
1. 該蠕蟲一旦執行,它會複製自己成下列檔案:
%System%\regsvr.exe
%System%\svchost .exe
%Windir%\regsvr.exe
2. 接下來,該蠕蟲會建立下列檔案:
%System%\28463\svchost.001
%System%\28463\svchost.exe (Spyware.Ardakey)
%System%\setting.ini
%System%\setup.ini
%Windir%\Tasks\At1.job
3. 然後該蠕蟲會修改下列檔案:
%SystemDrive%\DELL\drivers\R71579\AEEnable.exe (W32.Sality.AE)
%SystemDrive%\DELL\drivers\R71579\RemADI.exe (W32.Sality.AE)
%SystemDrive%\DELL\drivers\R71579\SMAXWDM\SE\inst16.exe (W32.Sality.AE)
%SystemDrive%\DELL\drivers\R71579\SMAXWDM\W2K_XP\Remove.exe (W32.Sality.AE)
%SystemDrive%\DELL\drivers\R71579\SMAXWDM\W2K_XP\install.exe (W32.Sality.AE)
%SystemDrive%\DELL\drivers\R71579\Setup.exe (W32.Sality.AE)
%SystemDrive%\DELL\drivers\R71579\Sys\CleanUp.exe (W32.Sality.AE)
%SystemDrive%\DELL\drivers\R71579\Sys\DSndUp.exe (W32.Sality.AE)
%Windir%\system.ini
4. 該蠕蟲會建立下列登錄檔項目,以利每次Windows啟動時執行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Msn Messsenger" = "%System%\regsvr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"svchost Agent" = "%System%\28463\svchost.exe"
5. 然後該蠕蟲會修改下列登錄檔項目,以利每次Windows啟動時執行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe regsvr.exe"
6. 接下來,該蠕蟲會建立下列登錄檔項目以迴避Windows防火牆:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%CurrentFolder%\[ORIGINAL THREAT FILE NAME].exe" = "%CurrentFolder%\[ORIGINAL THREAT FILE NAME].exe:*:Enabled:ipsec"
7. 該蠕蟲會建立下列登錄檔項目以使某些系統軟體失效:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "0"
8. 為了隱藏其存在,該蠕蟲會修改下列登錄檔項目:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
9. 該蠕蟲為了降低安全性設定,它會建立下列登錄檔項目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
10. 接下來,該蠕蟲會建立下列登錄檔項目,以修改Explorer的設定:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\"shared" = "\\VINET\Share\New Folder .exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NofolderOptions" = "0"
11. 該蠕蟲會修改下列登錄檔項目:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\"NextAtJobId" = "2"
12. 接下來,該蠕蟲會存取下列URLs:bbas-6e-b3-56
bbas-6e-b3-56/Sh
bbas-90-09-6b
bbas-90-09-6b/Sh
gotcha.goldeye.info/main
jrsx.jre.net.cn/logo
macedonia.my1.ru/main
snoopy
snoopy/Sh
vinet
vinet/34
vinet/Sh
hxxp://www.musikrajt.sk/main
hxxp://www.musikrajt.wz.cz/logos
hxxp://www.solidarnosc.org.pl/lublin/logos
hxxp://www.yahoo.com/setti
yahoo.com/setti
yahoo.com/setti
%DriveLetter%\New Folder .exe
%DriveLetter%\regsvr.exe
14. 該蠕蟲會複製自己成下列檔案至所有可移動式裝置:
%DriveLetter%\New Folder .exe
%DriveLetter%\jxcw.exe
%DriveLetter%\regsvr.exe
15. 該蠕蟲會建立下列檔案,以利上述裝置被存取時執行:
%DriveLetter%\autorun.inf
解決方案:
1. 關閉系統還原功能( Windows Me/XP )
(1) 如果執行的作業系統是Windows Me/XP,建議暫時關閉系統還原功能,此功能在Windows Me/XP預設是啟用狀態,假如電腦的資料有毀損,則可使用此功能來復原檔案。假如電腦感染了病毒、蠕蟲或是木馬,則系統還原功能也會備份下系統所感染的病毒、蠕蟲或是木馬。
(2) Windows防止任何外部程式來修改系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾中的威脅。即使已經在其他的資料夾清除了受感染的檔案,還是有可能經由系統還原回復受感染的檔案。所以病毒掃描時,即使威脅已經移除了,還是有可能在系統還原資料夾中偵測到威脅。
(3) 關閉系統還原功能的方法可參閱Windows的文件或是參考下列其中一篇文章:
如何關閉及開啟Windows XP還原功能
如何關閉及開啟Windows Me還原功能
當您完成全部病毒移除程序並確定威脅已解除,請參照上述文件說明重新啟用系統還原功能。
Window Me關閉系統還原功能另可參考下列微軟網頁資料:
防毒工具無法清除 _Restore 資料夾中受感染的檔案, Article ID: Q263455
2. 更新病毒定義檔
請連結至所使用防毒軟體之公司網站下載最新的病毒定義檔,進行相關更新作業。
賽門鐵克
趨勢科技
卡巴斯基
McAfee
ESET NOD32
3. 執行全面系統掃描
(1) 啟動防毒軟體,並確認設定為執行掃描所有檔案。
(2) 開始執行全系統掃描。
(3) 如果偵測到受感染檔案,則採取防毒軟體所顯示建議的步驟執行。
(註1) 如果防毒軟體無法啟動或無法刪除所偵測到之病毒檔案,請停止執行這些有風險之檔案以便進行移除。偵測移除作業請在安全模式進行,如何啟動至安全模式請參考註2連結說明。重新啟動系統至安全模式後,重新執行一次掃毒程序。
(註2) 如何開啟安全模式請參考網址。
http://service1.symantec.com/SUP ... &seg=hm&lg=zh&ct=tw
(註3) 如有掃描出任何病毒,請依指示刪除病毒,移除受感染的檔案後再重新開啟系統至正常模式。
4. 刪除加入到登錄檔內的任何值( value ):執行時建議先行備份登錄檔。
(1) 滑鼠左鍵點選 「開始」è「執行」
(2) 輸入 regedit,點選「確定」
(註) 如果無法打開登錄檔編輯器,則威脅可能已經修改了登錄檔以防止進入登錄檔編輯器。安全回應中心已開發了一種工具以解決此問題。下載並執行此工具,然後繼續掃毒。
(3) 瀏覽並刪除下列登錄檔項目
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Msn Messsenger" = "%System%\regsvr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"svchost Agent" = "%System%\28463\svchost.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\"AtTaskMaxHours" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%CurrentFolder%\[ORIGINAL THREAT FILE NAME].exe" = "%CurrentFolder%\[ORIGINAL THREAT FILE NAME].exe:*:Enabled:ipsec"
(4) 必要時,恢復下列登錄檔項目原來的值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares\"shared" = "\\VINET\Share\New Folder .exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NofolderOptions" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe regsvr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
(5) 離開登錄檔編輯器
如果此風險在HKEY_CURRENT_USER之下產生或修改了登錄檔子機碼或登錄檔項目,則可能在受感染電腦上的每個使用者都建立了這些登錄檔項目。為確保所有這些登錄檔子機碼或登錄檔項目被清除或回復,請分別以每個使用者帳號登入後,檢查上述所有HKEY_CURRENT_USER項目。
轉至 行政院國家資訊安全會報中心
[ 本帖最後由 Ioan 於 2010-3-7 17:41 編輯 ] |
發表於 2010-3-7 17:38
|