廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3421 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
jenhaoliu 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
知名人士
級別: 知名人士 該用戶目前不上站
推文 x3 鮮花 x272
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[漏洞修補] 中度風險病毒警訊-線上幽靈病毒(WORM_ZOTOB.A)
趨勢科技8月14日發佈中度風險病毒警訊-線上幽靈病毒(WORM_ZOTOB.A)。此隻網路病
        毒透過微軟安全漏洞(Microsoft Security Bulletin MS05-039)
        於電腦開啟後門並植入後門程式
        ,會修改系統設定檔使電腦無法連上知名防毒廠商及網路購物廠商如eBay 、Amazon等網站
        ,並透過IRC伺服器的管道,對電腦進行遠端操控,更會以受感染電腦為跳板以攻擊網路上
        其它電腦,達到竊取資料的目的。
       
        感染方式,請參閱下面說明:
        這隻病毒蠕蟲會掃描IP位址,假如發現Windows系統未安裝修補程式且有啟TCP Port445
        (SMB,網路芳鄰) 的機器時,將會自動安裝後門程式在系統內(檔案名稱為HAHA.EXE)。
        但這個後門程式僅會影響Windows NT及Windows 2000的系統。另外也許這個蠕蟲病毒可
        修改Windows系統下的HOSTS檔案,讓受到感染的網站無法存取一些防毒網站。
       
        感染方式:
        1.發現有漏洞存在時,將本身copy成檔案名稱為HAHA.EXE,並放置於C:/WINDOWS下。
        2.更改下列註冊機碼(registry Code)
          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        WINDOWS SYSTEM = "botzor.exe"
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
        WINDOWS SYSTEM = "botzor.exe"
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
        \FirewallPolicy\DomainProfile\AuthorizedApplications\
        %System%\botzor.exe = "%System%:*:Enabled:botzor"
        注意: %System% 這個資料夾會因為不同的系統而路徑有所不同。
          例如:C:\Windows\System (Windows95/98/Me), C:\Winnt\System32 (WindowsNT/2000),
          或 C:\Windows\System32 (Windows XP) 。

     3.假如是在Windows NT-Based系統下,這隻蠕蟲病毒會修改下列機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
      Start = "dword:00000004" (預設值為 "00000002")
    4.修改Windows系統下的HOSTS檔案,並將下列Domain加到檔案裡:
     127.0.0.1 symantec.com...
     127.0.0.1 securityresponse.symantec.com
     127.0.0.1 symantec.com
     127.0.0.1 sophos.com...
     127.0.0.1 sophos.com
     127.0.0.1 mcafee.com...
     127.0.0.1 mcafee.com
     127.0.0.1 liveupdate.symantecliveupdate.com
     127.0.0.1 viruslist.com...
     127.0.0.1 viruslist.com
     127.0.0.1 viruslist.com
     127.0.0.1 f-secure.com
     127.0.0.1 f-secure.com...
     127.0.0.1 kaspersky.com
     127.0.0.1 kaspersky-labs.com
     127.0.0.1 avp.com...
     127.0.0.1 kaspersky.com...
     127.0.0.1 avp.com
     127.0.0.1 networkassociates.com...
     127.0.0.1 networkassociates.com
     127.0.0.1 ca.com...
     127.0.0.1 ca.com
     127.0.0.1 mast.mcafee.com
     127.0.0.1 my-etrust.com
     127.0.0.1 my-etrust.com...
     127.0.0.1 download.mcafee.com
     127.0.0.1 dispatch.mcafee.com
     127.0.0.1 secure.nai.com
     127.0.0.1 nai.com
     127.0.0.1 nai.com...
     127.0.0.1 update.symantec.com
     127.0.0.1 updates.symantec.com
     127.0.0.1 us.mcafee.com
     127.0.0.1 liveupdate.symantec.com
     127.0.0.1 customer.symantec.com
     127.0.0.1 rads.mcafee.com
     127.0.0.1 trendmicro.com
     127.0.0.1 pandasoftware.com
     127.0.0.1 pandasoftware.com...
     127.0.0.1 trendmicro.com...
     127.0.0.1 grisoft.com...
     127.0.0.1 microsoft.com...
     127.0.0.1 microsoft.com
     127.0.0.1 virustotal.com...
     127.0.0.1 virustotal.com
     127.0.0.1 amazon.com...
     127.0.0.1 amazon.co.uk...
     127.0.0.1 amazon.ca...
     127.0.0.1 amazon.fr...
     127.0.0.1 paypal.com...
     127.0.0.1 paypal.com
     127.0.0.1 moneybookers.com
     127.0.0.1 moneybookers.com...
     127.0.0.1 ebay.com...
     127.0.0.1 ebay.com
     
    5.移除方式:
    (1)自動移除

  更新您的防毒軟體病毒碼或是下載移除工具程式,並針對系統作掃描

     (2)手動移除
 
       (A)在開始/執行/regedit
     (B)在
       HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
       HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>RunServices
       移除下列兩個值:
     WINDOWS SYSTEM = "botzor.exe"
     WINDOWS SYSTEM = "botzor.exe"
     (c)在
     HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAcces>Parameters>
     FirewallPolicy>DomainProfile>AuthorizedApplications>List
     移除下列值:
     %System%\botzor.exe = "%System%:*:Enabled:botzor"

     (d)HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess
    將下列值:
     Start = "dword:00000004"
    更新為:
    Start = "dword:00000002"
    (e)離開Registry編輯模式
    (f)建議重新開機,並再次確認是否已經移除。
    (g)修改%Windows%\HOSTS(將第4項被蠕蟲病毒新增的網址移除)。
    (h)存檔離開。

  6.參考網站: 趨勢科技





What sunshine is to flowers, smiles are to humanity.
微笑之於人類,猶如陽光之於花卉。
獻花 x0 回到頂端 [樓 主] From:台灣 | Posted:2005-09-11 16:18 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.077748 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言