- 鐵幣
- 1608 元
- 文章
- 208 篇
- 聲望
- 115 枚
- 上次登入
- 08-6-1
- 精華
- 0
- 註冊時間
- 03-1-13
- UID
- 3717
|
回覆 #1 斷月嵐 的文章
W32.IRCBot.BPP是一種木馬,會開啟後門以及傳送垃圾郵件。
當W32.IRCBot.BPP被執行時,詳細動作如下:
1.產生下列檔案:
%Windir%\spoolsv.exe
2.該木馬註冊為一服務,並具有下列特性:
服務名稱:Spoolsv
顯示名稱:Printer Spooler Service
類型:自動
3.產生下列登錄子機碼(registry subkey)以安裝上述服務:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\Security
4.產生下列登錄項目(registry entries):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\
"Description" = "[PRINTER EXECUTABLE]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\
"DisplayName" = "Printer Spooler Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\"ErrorControl" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\"FailureActions" =
"05 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 57 00 53 00 01 00 00 00 01 00 00 00"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\"imagePath" =
"C:\windows\spoolsv.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\"Type" = "110"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\Enum\"0" =
"Root\LEGACY_SPOOLSV\0000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\Enum\"Count" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\Enum\"NextInstance" =
"0x00000001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spoolsv\Security\"Security" =
"[160 BYTES]"
5.連結至下列任一網站:
[http://]anonymous-judge.no-ip.org/azen[已移除]
[http://]www.proxy.us.pl/azen[已移除]
[http://]kasupke.redio.de/azen[已移除]
[http://]internetsec.org/azen[已移除]
6.嘗試連結下列IP以確保具有網路連線能力:
81.93.100.123
7.開啟後門,並透過TCP port 6019(或8910)連結至下列其中之一網站:
mx.sbn01.to
ircd.myadv.biz
8.攻擊者因此可執行下列行為:
傳送該受害主機之作業系統及其版本資訊
下載並執行該檔案,其中包含該病毒之更新檔
架起smtp伺服器以及其用戶端
偽裝成垃圾郵件轉送者(mail Relay),使攻擊者可藉此傳送垃圾郵件
解決方案:
1.暫時關閉系統還原功能 (Windows Me/XP)
系統還原功能能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。
系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改
系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾
中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。
關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁:
關閉Windows Me還原功能
關閉Windows XP還原功能
簡易操作如下:
Window Me
(a)點選 開始\設定\控制面版
(b)滑鼠左鍵兩下點選執行系統(System)
(c)在效能頁面點選檔案系統
(d)勾選取消系統還原並點選確定重新開機
Window XP
(a)點選 開始
(b)滑鼠右鍵選取我的電腦,點選內容
(c)尋找系統還原的頁面,取消系統還原
(d)點選套用
(e)電腦會提醒有關細節,點選確定
2.更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克
趨勢科技
3.執行全系統掃描
(a)執行防毒軟體,並設定為執行全系統掃描
(b)如果偵測到病毒,則採取防毒軟體所建議的步驟
(註1)如果沒有防毒軟體,可以到以下網站線上掃毒:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
(註2)如果防毒軟體無法刪除病毒,則需重新啟動至安全模式,
依防毒軟體指示刪除病毒,再進行下一步驟。
(註3)如果出現檔案遺失的訊息,在完全移除病毒後便不會再出現,請點選「確定」略過訊息。
(註4)如何開啟安全模式請參考。
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid
/2001052409420406?OpenDocument&src=sec_doc_nam
(c)如果掃描出任何病毒,請刪除病毒
(註)假如防毒產品無法移除受感染的檔案,請以安全模式開啟,並再次執行掃毒程序,
移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息
(Warning messages),因為此時威脅仍未完全解除,可忽略此警訊點選OK,
指令完全移除後,重新開機便不會再出現警訊,警告訊息呈現如下列所示:
Title: [FILE PATH]
Message body: Windows cannot find [FILE NAME].
Make sure you typed the name correctly, and then try again.
To search for a file, click the Start button, and then click Search.
4.刪除登入檔內的值(value):
(a)滑鼠左鍵點選 開始\執行
(b)鍵入 regedit
(c)滑鼠左鍵點選 確定
(d)刪除下列登錄項目
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\"Description" =
"[PRINTER EXECUTABLE]"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\"DisplayName" =
"Printer Spooler Service"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\"ErrorControl" = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\"FailureActions" =
"05 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 57 00 53 00 01 00 00 00 01 00 00 00"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\"imagePath" =
"C:\windows\spoolsv.exe"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\"Start" = "2"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\"Type" = "110"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\Enum\"0" =
"Root\LEGACY_SPOOLSV\0000"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\Enum\"Count" = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\Enum\
"NextInstance" = "0x00000001"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\Security\
"Security" = "[160 BYTES]"
(e)如有需要,恢復下列登錄項目(registry entries):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\Enum
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Spoolsv\Security
(f)離開登錄檔編輯器
5.找出並停止服務:
(a)滑鼠左鍵點選 開始\執行
(b)鍵入services.msc
(c)選擇所偵測到的服務,點選 內容
(d)點選 停止,並在啟動類型選擇 手動
(e)點選 確定並關閉視窗,重新啟動電腦
參考資料:
http://www.symantec.com/enterpri ... 2007-030713-4246-99
資料來源:賽門鐵克公司 |
|
傳送訊息
發表於 07-8-16 08:05:08
