|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-01-31, 02:11 PM | #1 |
註冊會員
|
諾瓦(Novarg)病蟲已在蔓延中,請儘速檢查防範
諾瓦(Novarg)病蟲已在蔓延中,請儘速檢查防範
壹. 摘要: 諾瓦(Novarg)病毒又稱過期病毒(Mimail-R)會偽以各種技術性的主旨及附件名稱,透過電子郵件四處散佈。當附件檔開啟時病蟲即被啟動,並搜尋中毒電腦的硬碟,以取得更多電子郵件地址,繼續向外傳佈。同時病毒也會在中毒的電腦上開啟後門,供駭客入侵。 貳. 影響系統: Windows 98,Windows 95,Windows ME,Windows NT,Windows 2000,windows XP,2003 參. 檢查方法: 若您最近曾經收到信件主旨為下列其中一個:test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error。並且有開啟信件的附檔,則可能已遭受病毒感染。您可以直接下載並執行下列賽門鐵克的免費掃毒軟體進行自我檢查: http://securityresponse.symantec.com...r/FxNovarg.exe 肆. 解決方法: 如果您的電腦受到此病蟲感染,可以依下列方式解決。 1.請下載賽門鐵克免費掃毒軟體: http://securityresponse.symantec.com...r/FxNovarg.exe 2.將檔案儲存在方便的位置,例如您的下載資料夾或 Windows 桌面 (或者,如果方便,請儲存在未受感染的可移除式媒體上)。 3.關閉所有正在執行的程式。 4.斷開與網路的連接。 5.如果您的電腦執行的是 Windows Me 或 XP,請關閉「系統還原」。關閉方式請參閱: Windows ME請參考下列連結: http://service1.symantec.com/SUPPORT...20517101224932 Windows XP請參考下列連結: http://service1.symantec.com/SUPPORT...20517102945932 6.在 FxNovarg.exe 檔上按兩下滑鼠,即可啟動移除工具。 7.按下「開始」啟動程序,並允許工具執行。 8.重新啟動電腦。 9.再次執行移除工具,確保系統已清除乾淨。 10.如果您執行的是 Windows Me/XP,請重新啟用「系統還原」。 伍. 參考資訊: 趨勢科技(中文): http://www.trendmicro.com/vinfo/zh-t...WORM_MSBLAST.D 賽門鐵克(中文): http://securityresponse1.symantec.co...varg.a@mm.html |
送花文章: 180,
|
2004-01-31, 04:06 PM | #7 (permalink) |
長老會員
|
感謝告知......
病毒讓人防不勝防 唉~~~ |
__________________ 金錢的數量,決定馬子的漂亮 硬碟的容量,決定男人的力量 製作Mail Logo按這裡 |
|
送花文章: 257,
|
2006-03-13, 07:05 AM | #12 (permalink) |
榮譽會員
|
關於處理Worm.Welchia.e蠕蟲的方法
發帖請加標籤,謝謝合作!並在標題上說明文章內容 by:bbiverson 病毒別名:Worm.win32.Welchia.e[avp] 處理時間:2004-03-10 威脅等級:★★★ 中文名稱:衝擊波剋星變種E 病毒檔案類型:蠕蟲 影響系統:Windows 2000, Windows XP 病毒行為: 「衝擊波剋星」系例 編寫工具: vc, upx壓縮 傳染條件: 該病毒只會對具有RPC漏洞、WebDAV 漏洞、IIS5/WEBDAV漏洞和Locator service 漏洞的WINDOWS系統進行傳播。 發作條件: 系統修改: A、檢查互斥體"WksPatch_Mutex.", 只允許一個實例執行. B、自我複製到 %System%DriversSvchost.exe. C、新增以下服務 服務名: WksPatch 服務程序: %System%DriversSvchost.exe 服務描述: 從以下三種字元串中組合: 1> System Security Remote Routing Performance Network License Internet 2> Logging Manager Procedure Accounts Event 3> Provider Sharing Messaging Client D、移除名為"RpcPatch"的服務(這個服務是由衝擊波剋星系列新增的) E、檢測以下病毒是否存在: Worm.Mydoom.A, Worm.Mydoom.B, Worm.Doomjuice, and Worm.Doomjuice.B F、如果存在以上病毒則有以下現象: 1>結束下列行程: %System%intrenat.exe (Worm.Doomjuice) %System%Regedit.exe (Worm.Doomjuice.B) %System%Taskmon.exe (Worm.Mydoom.A) %System%Explorer.exe (Worm.Mydoom.B) 2>移除和以上病毒有關的文件,如: %System%shimgapi.dll (The .dll associated with Worm.Mydoom.A) %System%ctfmon.dll (The .dll associated with Worm.Mydoom.B) 值得注意的是移除時上述病毒可能正在執行,所以這一步有時會失敗. 3>移除以下註冊表鍵值: HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Gremlin (Worm.Doomjuice) HKLM/Software/Microsoft/Windows/CurrentVersion/Run/NeroCheck (Worm.Doomjuice.B) HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A) HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A) HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B) HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B) 4>恢復以下註冊表鍵值: (這些鍵值被 Worm.Mydoom.a and Worm.Mydoom.B 病毒修改指向自己的dll): HKCR/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 = %Systemwebcheck.dll 5>恢復hosts文件(被Mydoom.A and .B修改) # # 127.0.0.1 localhost G、產生隨機ip位址並向這些位址傳送溢位和漏洞攻擊, 其中包括: DCOM RPC WebDav Workstation Service Locator service DCOM RPC H、在隨機連接阜開啟一個http服務,可以使別的機器容易受到感染。 I、如果被感染操作系統為日文,則在IIS的虛擬目錄搜尋副檔名為 shtml shtm stm cgi php html htm asp 並以box.jpg.html覆蓋搜尋到的文件內容。瀏覽效果如box.jpg所顯示。 J、如果受感染系統為中文,英文或者韓文則在微軟的windows昇級主頁下載漏洞修正檔, download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a /WindowsXP-KB828035-x86-CHS.exe download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59 /WindowsXP-KB828035-x86-KOR.exe download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a /WindowsXP-KB828035-x86-ENU.exe download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c /Windows2000-KB828749-x86-CHS.exe download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513 /Windows2000-KB828749-x86-KOR.exe download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9 /Windows2000-KB828749-x86-ENU.exe 安裝修正檔完畢後會重新啟動電腦。 K、這個蠕蟲會自我移除,在執行120天後或者2004年6月1日以前。 |
__________________ |
|
送花文章: 3,
|