AntiVirus 板


LINE

※ 引述《mksam ()》之銘言: : 請問各位大大 : 重了這病毒要怎麼解阿.... : 爬過...他是英文的看的物煞煞 : 請各位大大伸出援手哩~ 太多人中毒了, 花了些時間翻譯重點部份, 倉卒翻譯, 如果疑問, 歡迎指正 W32.Spybot.Worm 2004/4/16 發現 W32.Spybot.Worm 是透過 KaZaA檔案分享和mIRC擴散的蠕蟲,也會透過受感染電腦的後門而擴散。 藉由連上特殊設定的IRC Server,,W32.Spybot.Worm可以執行不同後門功能,加入不同的頻道傾聽指令。 中文:W32.Spybot.Worm的變種會使用下面弱點進行擴散: ‧ MS03-026 ( http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx ) 使用 TCP port 135 的 DCOM RPC 弱點。 ‧ MS04-011 (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx ) 微軟本機安全性認證服務遠端緩衝區弱點 ‧ MS02-061 ( http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx ) 使用 UDP port 1434 MS-SQL 2000或MSDE 2000驗証弱點 ‧ MS03-007 ( http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx )使用 TCP port 80 的 WebDAV 弱點 ‧ MS01-059 ( http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx ) UPnP 通知緩衝區弱點 ‧ MS03-049 ( http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx ) 使用 TCP port 445 的工作站服務緩衝區溢位弱點,Windows XP 的使用者只要有安裝 MS03-043 ( http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx ) 就可以避免此弱點,Windows 2000 用戶必須安裝 MS03-049 別名 Worm.P2P.SpyBot.gen [Kaspersky], W32/Spybot-Fam [Sophos], W32/Spybot.worm.gen [McAfee], WORM_SPYBOT.GEN [Trend], Win32.Spybot.gen [Computer Associates] 型態 蠕蟲 感染長度 不一定 受影響系統 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 不受影響系統 DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x 損害: 1. 將個人資料送到 IRC 頻道 2. 在受感染電腦上執行未經認證的命令 When W32.Spybot.Worm 會執行下面命令: 將自己拷貝到 %System% 資料夾(C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP). ) 1. 在 KaZaA檔案分享網路上,下面登錄機碼上新增資料,建立分享資料夾: HKEY_CURRENT_USER\SOFTWARE\KAZAA\LocalContent 新增下面資料 "dir0"="012345:<configurable path>" 2. 將自己拷貝到設定的路徑,設定觸發,讓使用者下載和執行蠕蟲。 3. 對特定伺服器作DoS攻擊(Denial of Service,服務阻段)。 4. 將安全性產品程序停止執行。 5. 連上IRC伺服器,加入頻道,接收命令,將蠕蟲加入 [開始 / 程式集 / 啟動] 資料夾,例如: Documents and Settings\All Users\Menu Start\Programma's\Opstarten WINDOWS\All Users\Start Menu\Programs\StartUp WINNT\Profiles\All Users\Start Menu\Programs\Startup WINDOWS\Start Menu\Programs\Startup Documenti e Impostazioni\All Users\Start Menu\Programs\Startup Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup Documents and Settings\All Users\Start Menu\Programs\Startup 賽門鐵克安全性回應會報告說此資料夾會有 0 byte 檔案,名稱為 TFTP780或TFTP###,# 是任意數字。 6. 在下面機碼加入任意登錄值: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 例如加入下面值: "Microsoft Update" = "wuamgrd.exe" 7. 在系統資料夾紀錄使用者按過的鍵盤。 8. 送出使用者資料,例如作業系統、IP位址、使用者名稱、IRC伺服器、、、等。 9. 開啟後門port。 10. 透過上述弱點擴散。 手動移除方法 1. 關閉 [系統還原] 功能 (只有 Windows ME/XP 有此功能) 如果您不會關閉,Windows ME 請參考 http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239 Windows XP 請參考 http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039 2. 更新病毒碼To update the virus definitions 3. 重新啟動電腦,到安全模式(Windows 95, 98, Me, 2000, or XP),或VGA模式(Windows NT 4)。如果您不會進入安全模式,請參考 http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406?OpenDocument&src=sec_doc_nam 4. 掃描並刪除受感染檔案, 紀錄檔案名稱。 5. 刪除下面登錄值: a. 點選 [ 開始 / 執行 ] b. 輸入 regedit,按下 [確定] 鈕,會跳出 [登錄編輯程式] c. 找到下面機碼 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run d. 在右邊面板,刪除受W32.Spybot.Worm感染的檔案。(剛剛紀錄的) e. 找到下面機碼 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce f. 在右邊面板,刪除步驟d發現的檔案名稱。 g. 找到下面機碼 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices h. 在右邊面板,刪除步驟d發現的檔案名稱。 i. 找到下面機碼 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run j. 在右邊面板,刪除步驟d發現的檔案名稱。 k. 跳出登錄編輯程式。 6. 刪除 [啟動] 資料夾中 0 byte 檔案 (1). Windows 95/98/Me/NT/2000 a. [ 開始 / 搜尋 / 檔案或資料夾] b. 在 [尋找在] 欄位輸入 C: c. 在 [檔名] 或 [尋找] 欄位輸入tftp*.* d. 按下 [立即搜尋] 鈕 e. 在資料夾名稱結束為 [啟動] 的資料夾中,刪除0 byte檔案。 (2) Windows XP a. [ 開始 / 搜尋 / 檔案或資料夾] b. 按下 [所有檔案和資料夾] 鈕 c. 在 [部份或完整的檔案名稱]欄位中輸入tftp*.* d. 在 [尋找在] 欄位輸入 C: e. 按下 [進階選項] f. 勾選 [系統資料夾] g. 勾選 [搜尋子目錄] h. 按下 [搜尋] 鈕 i. 在資料夾名稱結束為 [啟動] 的資料夾中,刪除0 byte檔案。 參考來源: http://securityresponse.symantec.com/avcenter/venc/data/w32.spybot.worm.html 轉自http://forum.icst.org.tw/phpBB2/viewtopic.php?t=3353&sid=3e4f0dc68bdde869f4ab9b9fb4d8eb66 --



※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.169.105.204
1F:推 binchiw:請問你的問題可以用此方法解決了嗎? 218.168.238.168 07/28
2F:推 binchiw:我用了您說的方法但問題仍在耶.....@@ 218.167.167.138 07/28







like.gif 您可能會有興趣的文章
icon.png[問題/行為] 貓晚上進房間會不會有憋尿問題
icon.pngRe: [閒聊] 選了錯誤的女孩成為魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一張
icon.png[心得] EMS高領長版毛衣.墨小樓MC1002
icon.png[分享] 丹龍隔熱紙GE55+33+22
icon.png[問題] 清洗洗衣機
icon.png[尋物] 窗台下的空間
icon.png[閒聊] 双極の女神1 木魔爵
icon.png[售車] 新竹 1997 march 1297cc 白色 四門
icon.png[討論] 能從照片感受到攝影者心情嗎
icon.png[狂賀] 賀賀賀賀 賀!島村卯月!總選舉NO.1
icon.png[難過] 羨慕白皮膚的女生
icon.png閱讀文章
icon.png[黑特]
icon.png[問題] SBK S1安裝於安全帽位置
icon.png[分享] 舊woo100絕版開箱!!
icon.pngRe: [無言] 關於小包衛生紙
icon.png[開箱] E5-2683V3 RX480Strix 快睿C1 簡單測試
icon.png[心得] 蒼の海賊龍 地獄 執行者16PT
icon.png[售車] 1999年Virage iO 1.8EXi
icon.png[心得] 挑戰33 LV10 獅子座pt solo
icon.png[閒聊] 手把手教你不被桶之新手主購教學
icon.png[分享] Civic Type R 量產版官方照無預警流出
icon.png[售車] Golf 4 2.0 銀色 自排
icon.png[出售] Graco提籃汽座(有底座)2000元誠可議
icon.png[問題] 請問補牙材質掉了還能再補嗎?(台中半年內
icon.png[問題] 44th 單曲 生寫竟然都給重複的啊啊!
icon.png[心得] 華南紅卡/icash 核卡
icon.png[問題] 拔牙矯正這樣正常嗎
icon.png[贈送] 老莫高業 初業 102年版
icon.png[情報] 三大行動支付 本季掀戰火
icon.png[寶寶] 博客來Amos水蠟筆5/1特價五折
icon.pngRe: [心得] 新鮮人一些面試分享
icon.png[心得] 蒼の海賊龍 地獄 麒麟25PT
icon.pngRe: [閒聊] (君の名は。雷慎入) 君名二創漫畫翻譯
icon.pngRe: [閒聊] OGN中場影片:失蹤人口局 (英文字幕)
icon.png[問題] 台灣大哥大4G訊號差
icon.png[出售] [全國]全新千尋侘草LED燈, 水草

請輸入看板名稱,例如:Gossiping站內搜尋

TOP