史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   資訊系統安全備援防護技術文件 (http://forum.slime.com.tw/f139.html)
-   -   諾瓦(Novarg)病蟲已在蔓延中,請儘速檢查防範 (http://forum.slime.com.tw/thread93112.html)

JOVI 2004-01-31 02:11 PM
諾瓦(Novarg)病蟲已在蔓延中,請儘速檢查防範
 
諾瓦(Novarg)病蟲已在蔓延中,請儘速檢查防範


壹. 摘要:

諾瓦(Novarg)病毒又稱過期病毒(Mimail-R)會偽以各種技術性的主旨及附件名稱,透過電子郵件四處散佈。當附件檔開啟時病蟲即被啟動,並搜尋中毒電腦的硬碟,以取得更多電子郵件地址,繼續向外傳佈。同時病毒也會在中毒的電腦上開啟後門,供駭客入侵。

貳. 影響系統:

Windows 98,Windows 95,Windows ME,Windows NT,Windows 2000,windows XP,2003

參. 檢查方法:
若您最近曾經收到信件主旨為下列其中一個:test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error。並且有開啟信件的附檔,則可能已遭受病毒感染。您可以直接下載並執行下列賽門鐵克的免費掃毒軟體進行自我檢查:

http://securityresponse.symantec.com...r/FxNovarg.exe

肆. 解決方法:
如果您的電腦受到此病蟲感染,可以依下列方式解決。
1.請下載賽門鐵克免費掃毒軟體:
http://securityresponse.symantec.com...r/FxNovarg.exe

2.將檔案儲存在方便的位置,例如您的下載資料夾或 Windows 桌面 (或者,如果方便,請儲存在未受感染的可移除式媒體上)。

3.關閉所有正在執行的程式。

4.斷開與網路的連接。

5.如果您的電腦執行的是 Windows Me 或 XP,請關閉「系統還原」。關閉方式請參閱:
Windows ME請參考下列連結:
http://service1.symantec.com/SUPPORT...20517101224932

Windows XP請參考下列連結:
http://service1.symantec.com/SUPPORT...20517102945932

6.在 FxNovarg.exe 檔上按兩下滑鼠,即可啟動移除工具。


7.按下「開始」啟動程序,並允許工具執行。


8.重新啟動電腦。


9.再次執行移除工具,確保系統已清除乾淨。


10.如果您執行的是 Windows Me/XP,請重新啟用「系統還原」。


伍. 參考資訊:

趨勢科技(中文):

http://www.trendmicro.com/vinfo/zh-t...WORM_MSBLAST.D

賽門鐵克(中文):

http://securityresponse1.symantec.co...varg.a@mm.html

babayu 2004-01-31 02:13 PM
謝謝 賽門鐵克 FxNovarg.exe 只到a 沒辦法對付變種 b


Symatec "W32.Novarg.A@mm - I-Worm.Mydoom.a"

也只限於Novarg.a 其它的蠕蟲 木馬不行

k2hungss 2004-01-31 02:34 PM
只能對付 a
不能應付變種 b
那可要如何?!

tys0605 2004-01-31 02:44 PM
感謝分享

戰神2001 2004-01-31 02:54 PM
謝謝告知

路人 2004-01-31 03:26 PM
既然無法清除病毒
那就不要開那些怪怪電子郵件就好了!

leowang 2004-01-31 04:06 PM
感謝告知......
病毒讓人防不勝防 唉~~~

kokid 2004-01-31 05:34 PM
謝謝告知喔...

gi226 2004-01-31 06:38 PM
Thanks a lot!

sislly2003 2004-01-31 08:54 PM
感謝~~~

六翼黑帝斯 2006-02-05 12:45 AM
測試中...
目前沒中毒...懶得更新@@-.-

psac 2006-03-13 07:05 AM
關於處理Worm.Welchia.e蠕蟲的方法

發帖請加標籤,謝謝合作!並在標題上說明文章內容
by:bbiverson

病毒別名:Worm.win32.Welchia.e[avp] 處理時間:2004-03-10 威脅等級:★★★
中文名稱:衝擊波剋星變種E 病毒檔案類型:蠕蟲 影響系統:Windows 2000, Windows XP
病毒行為:
「衝擊波剋星」系例

編寫工具:
vc, upx壓縮

傳染條件:
該病毒只會對具有RPC漏洞、WebDAV 漏洞、IIS5/WEBDAV漏洞和Locator service 漏洞的WINDOWS系統進行傳播。

發作條件:

系統修改:
A、檢查互斥體"WksPatch_Mutex.", 只允許一個實例執行.
B、自我複製到 %System%DriversSvchost.exe.
C、新增以下服務
服務名: WksPatch
服務程序: %System%DriversSvchost.exe
服務描述: 從以下三種字元串中組合:

1> System
Security
Remote
Routing
Performance
Network
License
Internet

2> Logging
Manager
Procedure
Accounts
Event

3> Provider
Sharing
Messaging
Client

D、移除名為"RpcPatch"的服務(這個服務是由衝擊波剋星系列新增的)

E、檢測以下病毒是否存在:
Worm.Mydoom.A, Worm.Mydoom.B, Worm.Doomjuice, and Worm.Doomjuice.B

F、如果存在以上病毒則有以下現象:
1>結束下列行程:
%System%intrenat.exe (Worm.Doomjuice)
%System%Regedit.exe (Worm.Doomjuice.B)
%System%Taskmon.exe (Worm.Mydoom.A)
%System%Explorer.exe (Worm.Mydoom.B)

2>移除和以上病毒有關的文件,如:
%System%shimgapi.dll (The .dll associated with Worm.Mydoom.A)
%System%ctfmon.dll (The .dll associated with Worm.Mydoom.B)
值得注意的是移除時上述病毒可能正在執行,所以這一步有時會失敗.

3>移除以下註冊表鍵值:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Gremlin (Worm.Doomjuice)
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/NeroCheck (Worm.Doomjuice.B)
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A)
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A)
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B)
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B)

4>恢復以下註冊表鍵值: (這些鍵值被 Worm.Mydoom.a and Worm.Mydoom.B 病毒修改指向自己的dll):

HKCR/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 = %Systemwebcheck.dll

5>恢復hosts文件(被Mydoom.A and .B修改)
#
#

127.0.0.1 localhost


G、產生隨機ip位址並向這些位址傳送溢位和漏洞攻擊, 其中包括:
DCOM RPC
WebDav
Workstation Service
Locator service
DCOM RPC

H、在隨機連接阜開啟一個http服務,可以使別的機器容易受到感染。

I、如果被感染操作系統為日文,則在IIS的虛擬目錄搜尋副檔名為
shtml
shtm
stm
cgi
php
html
htm
asp
並以box.jpg.html覆蓋搜尋到的文件內容。瀏覽效果如box.jpg所顯示。

J、如果受感染系統為中文,英文或者韓文則在微軟的windows昇級主頁下載漏洞修正檔,
download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
/WindowsXP-KB828035-x86-CHS.exe
download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
/WindowsXP-KB828035-x86-KOR.exe
download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
/WindowsXP-KB828035-x86-ENU.exe
download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
/Windows2000-KB828749-x86-CHS.exe
download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
/Windows2000-KB828749-x86-KOR.exe
download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
/Windows2000-KB828749-x86-ENU.exe
安裝修正檔完畢後會重新啟動電腦。
K、這個蠕蟲會自我移除,在執行120天後或者2004年6月1日以前。


所有時間均為台北時間。現在的時間是 02:18 AM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1