9/12的新闻稿，刚发现没人贴过 上面已经有b大的方案，不过还是贴一下 前面是病毒症状介绍，最後是清除工具，给大家作个参考 奕瑞科技提供 Skype 病毒 Worm.Win32.Skipi.b 免费清除工具 Kaspersky | 12 Sep, 2007 15:37 针对日前利用 Skype 即时通讯软体散布的 Skype 病毒，国内知名资讯安全方案供 应商奕瑞科技对於提供此病毒的说明与并提供清除工具。 此病毒利用已经於前阵子 MSN 传讯软体中大量流传的手法，传送一个讯息并提供 一伪装为图片的恶意程式档案，使用者在点击此档案之後，会在系统目录 C:WindowsSystem32 资料夹下产生以下档案以下档案： wndrivs32.exe、mshtmldat32.exe 、winlgcvers.exe、sdrivew32.exe mshtmldat32.exe , winlgcvers.exe, sdrivew32.exe会以隐藏档方式存在於系统 中，在一般资料夹检视的状况下，将无法察觉这3个档案。 wndrivs32.exe为主要的病毒档案，会执行下列这些动作： 1. 写入机码於 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce 下，导致一般电脑开机登入後立即执行此病毒档，若是暂时从工作管理员，停 用此程序，不久後又会重新产生出来，也因此在正常模式中，无法顺利删除此 档案。而因为此机码是为了支援安装程式而执行。程式会变更系统组态资料， 所以会造成使用者无法在重新设定系统期间使用该系统，因此Windows 档案总 管会在建立桌面和工作列之前等待 RunOnce 程式执行完毕，所以被感染的电 脑将不能执行系统登录编辑程式或像SKYPE、ProcessExplorer等应用程式的视 窗(开启视窗後就会立即被关闭)。 2. 病毒也会改写系统中「hosts」这个档案，将大部分防毒软体的更新路径，IP 以乱数的方式来写入至hosts这个档案中，企图造成防毒软体无法正常更新的 状况。 3. 病毒会监控mshtmldat32.exe , winlgcvers.exe, sdrivew32.exe这3个档案， 若使用者在正常模式中，删除这3个档案，仍会再重新产生这三个档案。 卡巴斯基实验室已经於病毒爆发当日以最快速的反应时间将此病毒档更新至防毒 资料库中，判定病毒名称为：Worm.Win32.Skipi.b，使用者只要更新至最新状态 执行扫瞄即可侦测此病毒，若使用者使用卡巴斯基的免疫防护功能，也能够在防 毒资料库尚未更新之前直接拦截此病毒的危险行为。 另外由於此病毒并没有更改ftp://ftp.kaspersky.com的IP位置，所以也可以将卡 巴斯基更新来源，设成此网址，并在安全模式中扫瞄，即可移除病毒档，但机码 和hosts的档案，仍须手动修复。 奕瑞科技也提供一免费手动移除此病毒的工具 (清除工具请由此下载http://www.eraysecure.com.tw/attach/del-skipi_b.rar) 只要解压缩後重新开机至安全模式中执行，即可删除病毒，并还原机码和hosts的 档案。 以上转自 kaspersky blog http://tinyurl.com/3x5yrq --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 219.91.72.121