【資訊安全】【轉貼】2007下半年病毒警報新聞區

[複製連結] 檢視: 4448|回覆: 14

水羽

超級版主

ノワール

Rank: 4 Rank: 4 Rank: 4 Rank: 4

11^#

發表於 07-9-19 10:34:41 |只看該作者大字中字小字正體化简体化載入全部圖片

Worm@W32.Stration.2

Stration.2 駭蟲會散播夾帶檔案的信件，用戶執行該夾帶檔案，WindowsUpdate會被停用，並且會散播給通訊錄的其他連絡人，為Stration 新型態駭蟲。

Stration.2 駭蟲會從受感染電腦中的通訊錄取得郵件地址，並以寄送郵件的方式散播，信件中夾帶的檔案執行後會使WindowsUpdate 停用。

基本介紹
病毒名稱 Worm@W32.Stration.2
病毒別名 W32.Stration@mm[Symantec]
病毒型態 Worm
病毒發現日期 2007/05/29
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估
散播程度：高
破壞程度：中

Worm@W32.Stration.2 行為描述：

註：Windir代表系統所在目錄，在Win95/98/me系統預設值為 C:windows

在WinNT/2000/XP/2003系統預設值為 C:WinNT

註：在Win95/98/me System 預設值為 C:windowsSystem

在WinNT/2000/XP/2003 System 系統預設值為 C:WinNTSystem32

*

   病毒執行後，在Windir產生

   hfs.dat
   hfs.wax
   hfs.z
   hfs32.exe
*

   病毒執行後，在System產生

   e1.dll
   ipsminpu.dll
   jgshwint.exe
   pgpswuau.dat
   pgpswuau.dll
   pgpswuau.exe
   winnscar.dll
*

   修改登錄檔，如此開機即會啟動駭蟲。

   HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

* hfs= "C:WINDOWShfs32.exe s"

   增加在下列登錄檔值：

   HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifypgpswuauDllName= "C:WINDOWSsystem32pgpswuau.dll"
*

   修改登錄檔:

   HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs= " winnscar.dll e1.dll"
*

   刪除下列登錄值：

   HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswuauservImagePath: "systemrootsystem32svchost.exe -k netsvcs"

   HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswuauservDisplayName: "Automatic Updates"

   HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswuauservObjectName: "LocalSystem"

   HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswuauservDescription: "執行 Windows 更新的下載和安裝。如果停用此服務，這部電腦將無法使用 Windows Update 網站。"

轉貼自-台灣論壇

提供這些給大家..大家好好看看吧..

有問題..我不會解說這是轉貼來的= =

[ 本文最後由 TSUBASA672302 於 07-9-19 11:34 AM 編輯 ]