這個木馬會讓WINDOWS UPDATE失效! 然後 上到WINDOWS UPDATE網站也會讓IE當掉 把正常的WINDOWS Automatic Updates 的SERVICE直接更改啟動檔案=>wuauclt.dll~~ 然後讓人家看不出來! 正確為=>wuauserv.dll 而且應該只有 wuauclt.exe 不會有 wuauclt.dll 怎麼木馬越來越機車了!! 檔案作的像就算了~ 還懶的建立新的服務~ 直接改掉正確的! 這要人家怎麼查阿! ===================================================================== 名稱：Backdoor.Wualess是一種木馬程式，會在被感染的電腦上開啟後門(Backdoor)。 類別：木馬程式 簡介：Backdoor.Wualess是一種木馬程式，會在被感染的電腦上開啟後門(Backdoor)。 受影響系統：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 內容：Backdoor.Wualess是一種木馬程式，會在被感染的電腦上開啟後門(Backdoor)。 當Backdoor.Wualess執行時會有下列動作： 1. 新增下列檔案： %System%\wuauclt.dll NOTE：1.%System%是一個參考系統檔案夾的變數。預設值是： C:\Windows\System (Windows 95/98/Me) C:\Winnt\System32 (Windows NT/2000) C:\Windows\System32 (Windows XP) 2.若wuauserv這項服務目前並不存在，此木馬會在下列的登錄子機碼： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv中加入下列的值： "Start" = "2" 3.若wuauserv這項服務目前並不存在，此木馬會在下列的登錄子機碼： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters中 加入下列的值：ServiceDll = %System%\wuauclt.dll 4.若wuauserv這項服務目前已經存在，則只需要更改登錄子機碼中的值就好 5.新增一個mutex的物件New20060922，確保一台電腦中這種木馬只會有一個在執行 6.嘗試使用#NL-VNC這個頻道去連接NameLess.3322.org port：5202中的IRC伺服器 7.在被感染的電腦上開啟後門，允許遠端的攻擊者可執行下列的各項功能： A. 下載並執行檔案 B. 取得一些基本的系統資訊 C. 測試連線速度 D. 更新後門程式 E. 刷新DNS快取 F. 存取被感染電腦上的檔案 解決方案：1. 取消系統還原(對於Window Me/XP) Window Me (a) 點選 開始\設定\控制面版 (b) 滑鼠左鍵兩下點選執行系統(System) (c) 在效能頁面點選檔案系統 (d) 勾選取消系統還原並按確定重新開機 Window XP (a) 按開始 (b) 滑鼠右鍵選取我的電腦，點選內容 (c) 尋找系統還原的頁面，取消系統還原 (d) 點選套用 (e) 電腦會提醒有關細節，點選確定 2. 更新病毒定義檔 至所使用防毒軟體之公司網站下載最新的病毒定義檔 賽門鐵克：http://securityresponse.symantec.com/avcenter/defs.download.html 趨勢科技：http://www.trendmicro.com/download/zh-tw/ 3. 執行全系統掃描 (a) 執行防毒軟體，並設定為執行全系統掃描 (b) 如果偵測到病毒，則採取防毒軟體所建議的步驟 [註]如果沒有防毒軟體，可以到以下網站線上掃毒： http://www.kaspersky.com.tw/virusscanner/# http://www3.ca.com/securityadvisor/virusinfo/scan.aspx http://housecall.trendmicro.com/ 4. 刪除登入項目的值： A. 點選 開始\執行 B. 輸入 regedit C. 點選 OK NOTE：如果登錄編輯程式執行失敗，病毒可能把登錄編輯程式的路徑更改，Security Response有發展一套工具可以解決這個問題，請到下列網址： http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99 下載並執行，即可繼續後面的步驟 D. 跳到下列的登錄子機碼(registry subkey) 並點選： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv E. 刪除右邊框出現的符合下列字串的值： Start = 2 F. 跳到下列的登錄子機碼(registry subkey)並點選： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters G. 刪除右邊框出現的符合下列字串的值： ServiceDll = %System%\wuauclt.dll H. 離開登錄編輯程式 (G的步驟我作一下修正:不應該刪除~而是把wuauclt.dll改成wuauserv.dll) -- 自然就是美 傾聽‧自然之美 [azureseashor NB_SIRIUS 國王 Σ 天 狼 星 >住在天狼星上 [pp10086] vot1077 天鷹 ◎風之谷 vot1077 我的PTT2個版喔! http://www.wretch.cc/album/vot1077 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.130.153.7 ※ 編輯: vot1077 來自: 220.130.153.7 (01/05 04:04)