广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 14637 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[病毒蠕虫] 攻击分享资料夹内所有 EXE 档案的新病毒
攻击分享资料夹内所有 EXE 档案的新病毒

【转贴网址】   http://www.ettoday.com/200...1996697.htm

最近在国内网路流窜的一只名为W32.Looked病虫,这双虽是去年就已经被侦测出来,但这次发作的是新的变种W32.Looked.P,防毒公司赛门铁克将这只病虫危害指数订为2级(5级为最危险)。W32. Looked.P为一只透过网路分享进行扩散感染的病虫,并会搜寻受感染电脑内的.exe 执行档,感染从C到Y槽所有硬碟,它亦企图降低安全等级设定并且下载并执行远端程式,属于模组化恶意程式的攻击型态。

赛门铁克建议防范这类透过网路分享档案或网路芳邻感染扩散的病虫,除了防毒外,更重要的是需要加装双向个人防火墙及入侵侦测功能,交叉运作才能有效加以拦阻防范。

微软都是固定每月10日公布漏洞,这次紧急发布,令人怀疑这个漏洞的危险,不过目前尚有有重大灾情传出。

台湾微软发布1个Windows重大的安全性补充程式安装编号MS06-055以及一个重新发行的更新程式安装编号MS06-049。这些补充程式是解决Microsoft Windows XP SP1、Microsoft Windows XP SP2、Microsoft Windows Server 2003 SP1、Windows 2000 SP4等产品弱点,避免导致远端程式码的执行、权限提高等问题。

Microsoft Windows XP SP1、Microsoft Windows XP SP2、Microsoft Windows Server 2003 SP1 、Windows 2000 SP4 的产品弱点,会造成有心人士藉由此弱点执行远端程式码。

MS06-055的更新是修补向量标记语言中的弱点可能会允许远端执行程式码,包括Microsoft Windows XP Service Pack 1、 Microsoft Windows XP Service Pack 2、Microsoft Windows XP Professional x64 Edition等系统都受影响。

MS06-049则是修补Windows 核心中的弱点可能导致权限提高,但是,Microsoft Windows XP Service Pack 1 、Microsoft Windows XP Service Pack 2都不受影响,仅仅是Microsoft Windows 2000 Service Pack 4用户才需要下载。

修补程式会透过自动更新下载与安装,使用者也可以到

MS06-055 向量标记语言中的弱点可能会允许远端执行程式码 (925486)
MS06-049 核心中的弱点可能导致权限提高 (920958)
自行下载。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 和信超媒体宽带网 | Posted:2006-10-02 11:53 |
twn920
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

如何清除这个病毒
不用重灌电脑或是删除exe


献花 x0 回到顶端 [1 楼] From:台湾台湾索尼 | Posted:2006-11-15 21:05 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

下面是引用twn920于2006-11-15 21:05发表的 :
如何清除这个病毒
不用重灌电脑或是删除exe
我有遇到一只病毒 也是专门感染 电脑内全部硬碟的 .exe 档
但靠卡巴就能解毒 但是有几个档案 是无法解毒的 只能删除
可能与该档案的结构有关


爸爸 你一路好走
献花 x0 回到顶端 [2 楼] From:台湾 | Posted:2006-11-15 21:08 |
良牙 手机
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x26
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

这只毒我中过二次....
中毒的电脑系统是用 2000server ... 使用 norton企业版 10.0.1.xxxx忘了 加 卡巴anti-hacker 1.7.129
一次是9月中...一次是10月31日....
中毒时 被scan过的目录都会增加一个 _desktop.ini
9月中的版本会在启动加一个 desktop.ini ...
第一次是防毒软体没即时更新(设定点更新..时间差就被...)
第二次是norton企业版 10.0.1.xxxx被攻破(防不了..被病毒破坏)..后来改 10.1.5.5000

如果中该毒..没马上发现的话...就建议系统重灌...
中毒发作时...会修改所有的 .exe 档 (档案过大的.exe档除外) 到时c槽所有的程式.exe都中毒..救也没用
重灌好系统后..再去救其他槽...通常中标的档案都没法子救...想救的可以用卡巴试试...

中该毒很麻烦...所以要预防在先...
有二个大方向可能会中..
一是自已去抓到有毒..并且给它点下去...
二是透过网路分享方式入侵...
以下是预防透过网路分享方式入侵...
网卡设定的 "File and Printer Sharing fot Microsoft Networks" 不要打勾
如果必须分享..分享权限最好只勾读取
到 cmd 模式 打 net share 看看有那些分享... 都关掉.. 打 net share 分享名 /d
如果有 c$ d$ admin$ ipc$ 都要关掉 ex: net share c$ /d (XP 用此方式关不掉 ipc$)
另外..请将 445 及 139 port 关闭 (没开分享时)


[ 此文章被良牙在2006-11-16 10:39重新编辑 ]



献花 x0 回到顶端 [3 楼] From:台湾中华电信 | Posted:2006-11-16 10:33 |
uozid999
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x22
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

我的电脑也是开EXE档就会有问题...
不过都可以开...开以后执行任何动作此程式就会当机
可是我开MSN都可以正常聊天...
可是我不懂你的解毒方法...
就是第2点的改变EXE的关联那个部份@@
可以说详细依点吗?
我用过之后 卡巴也是扫到1%就停住了@@


献花 x0 回到顶端 [4 楼] From:台湾教育部 | Posted:2006-11-17 13:12 |
良牙 手机
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x26
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

刚刚去查了一下记录 10/31 中的毒(中毒的电脑是网咖的gameserver)
是 威金VIKING 的变种病毒(DEKTOP.INI的变种系列)
顺便po它的相关资讯

中毒时会run的档名 rundl132.exe,logo_1.exe,~.exe

手工清除病毒,注册表之后,被感染的EXE文件依然无法清除。一旦运行被感染的exe文件,病毒再次发作。网上流传的建立假病毒文件设为系统属性免疫方法无效,杀毒软件,专杀工具更无效。(除非你杀完毒,删除你硬盘上的所有小于10M的exe 文件)

彻底解决方式,运行windows的自动更新,安装2006年9月17日的更新补丁:windows xp KB917537安全更新。所有问题彻底解决。

Windows 2000:
http://download.microsoft.com/download/f/c/7/fc71d0c6-9346-...ws2000-KB917537-x86-CHS.EXE

Windows XP:
http://download.microsoft.com/download/6/2/2/62259943-9b98...dowsXP-KB917537-x86-CHS.exe

症状:
注册表加载 windows\rundl132.exe, 删除后自动恢复.
进程中有logo_1.exe
执行EXE文件时,自动生成~exe文件,比如安装setup.exe时,自动复制setup~.exe文件.
图标变大变灰。

该毒最大的「优点」就是会自动查找你硬盘上的一些EXE文件(好像是随机的)附加。(这种worm类病毒曾在DOS下是很让人头疼的事,曾是一个dir就感染了整个目录。)这样一来,即使你清掉内存中的病毒也于事无补,因为你总要运行电脑上的exe文件。

清除内存和病毒生成的文件后,又观察了病毒的运行结果,发现病毒是在windows目录下生成vdll.dll,logo1_.exe,rundl132.exe这三个文件。

又经过实验,vdll.dll注入exeplorer.exe是由logo1_.exe来完成。病毒会在开机自动执行中加入rundl132.exe

病毒也是程序,只要不给它执行的空间,它就很乖了。

WINDOWS对内存中的程序文件都有保护机制,利用这个特点,可以抢在病毒之前,先执行两个你开机必执行的程序,这样病毒就无法产下自己的孩子了。

一、清除病毒文件和内存中的vdll.dll。
二、保证开机只运行必要的几个进程。
三、无敌小闹钟改名为logo1_.exe放在windows目录下,并立刻执行,然后在注册表中加入开机执行它。
四、把windows\system32下的ctfmon.exe,复制到windows目录下,并改名为rundl132.exe,并立即执行。

大功告成!!!病毒的两个孩子名字logo1_.exe,rundl132.exe由于被你抢先占用了,它们只好死好娘肚子里,哇哈哈哈。(是不是太残忍,如果你不忍心,就让它们出来吧)

这病毒会让你的某些EXE不能正常运行,如果某个软件不能正常运行,你重新安装就是了,病毒再没有机会发作了

-----------------------------------------------------------------------------------------------------------------------------------------
W32.Looked

该病毒临床症状:
1.感染所有的EXE文件
2.W32.Looked.I 蠕虫,执行后会在系统生成:%Windir%
  undl132.exe, %CurrentFolder%vDll.dll 等病毒文件; 并在注册表添加系统服务随系统启动,试图终止安全相关的程序,终止系统重要进程,注入自身到DLL组件,vdll.dll到iexplore.exe,explore.exe,全盘搜索.exe文件,并注入自身到这些文件,无法清除, 使系统文件全部都染病毒
3.中止大部分的杀毒软件进程,诺顿可以隔离。但是结果是EXE文件全部执行不了
4.在共享的打印机上不停的打印,内容为当天日期
5.在C:\winnt 或是 windows生成Logo1_.exe , rundl132.exe,bootconf.exe几个文件,感染应用程序的速度非常快,只要你一用到某个应用程序,马上就会被感染,并且Logo1_.exe 会变成此应用程序的图标.
6.在局域网内部中传播相当快,能通过信使传播,但已禁用信使的电脑也能被感染,不知道它有多少传播途径.
7.被感染的机子很难清除干净,在某些电脑上的每一个文件夹还会有一个 _desktop 的记事本文件,内容为当前日期

病毒特性:
Win32.Looked.S是一种通过网络共享感染文件的蠕虫。它是大小为27,075字节,以Upack格式压缩的Win32可运行程序。它生成一个23,040字节的DLL文件,用来下载并运行二进制运行程序。

感染方式:
运行时,Win32.Looked.S使用以下文件名复制到%Windows%目录:
rundl132.exe Logo1_.exe

注:%Windows%是一个可变路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt,windows95/98/me中默认的安装路径是C:\Windows,windowsXP中默认的安装路径是C:\Windows。
它还会修改注册表,为了在每次系统启动时运行"rundl123.exe"文件:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%Windows%\rundl132.exe"随后,蠕虫在当前目录生成一个DLL文件"vDll.dll"。它会注入Explorer程序,并被用来下载和在Explorer程序中启动程序。
蠕虫还会生成"SemaphoreMe",以确保每次只有一个副本运行。

传播方式 :
通过感染文件传播
Looked.S在硬盘的z:/ 到 c:/ 驱动器循环搜索。它从本地根目录开始,感染扩展名为.exe的文件。蠕虫预谋自己到目标文件,并将文件大小增长到27,075字节。蠕虫不感染超过10,485,760字节的文件,或者带有以下名称的子文件夹中的文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Winnt
\Program Files\Windows NT
\Program Files\WindowsUpdate
\Program Files\Windows Media Player
\Program Files\Outlook Express
\Program Files\Internet Explorer
\Program Files\ComPlus Applications
\Program Files\NetMeeting
\Program Files\Common Files
\Program Files\Messenger
\Program Files\Microsoft Office
\Program Files\Install Shield Installation Information
\Program Files\MSN
\Program Files\Microsoft Frontpage
\Program Files\Movie Maker
\Program Files\MSN Gaming Zone

蠕虫还会在每个经过的目录中生成一个名为"_desktop.ini"的文件。这个文件包含系统日期,是无害的txt文件。

通过网络共享传播
蠕虫尝试通过IPC$ 和 admin$共享进行传播,使用'administrator'用户名和空口令。它还会尝试很多自带的用户名和密码,包括一个空用户名和口令。

蠕虫通过发送包括"Hello,World"数据的ICMP信息包到本地C类地址段目标IP地址来探测潜在目标。

危害
下载并运行任意文件
蠕虫从"17dk.com"域下载很多文本和二进制文件。它还会尝试下载2个文本文件和2个运行文件。二进制运行文件下载到%Windows%目录,并随后运行。

终止进程
Looked.S会终止以下运行的进程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMORE.EXE
Ravmond.EXE
RavMon.exe

停止服务
如果以下服务在系统上运行,蠕虫将停止这个服务:
Kingsoft AntiVirus Service

关闭窗口
Looked.S搜索带有"Ravmon.exe"标题的窗口,类别名为"RavMonClass"。如果找到,蠕虫就会关闭这个窗口。

主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的exe文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及xp系统都不感染。
5、能绕过所有的还原软件。
详细技术信息:
病毒运行后,在%windir%生成 logo1_.exe 同时会在windws根目录生成一个名为virdll.dll的文件。
%windir%virdll.dll
该蠕虫会在系统注册表中生成如下键值:
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1

盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏的密码,将游戏密码发送到该木马病毒的植入者手中。
  
阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。通过写入文本信息改变%system%driversetchosts 文件。这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。

病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。该蠕虫是一个大小为82k的windows pe可执行文件。通过本地网络传播该蠕虫会将自己复制到下面网络资源:
admin$
ipc$

症状
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:
program files
common files
complus applicati
documents and settings
netmeeting
outlook express
recycled
system
system volume information
system32
windows
windows media player
windows nt
windowsupdate
winnt

蠕虫会从内存中删除下面列出的进程:
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe


[ 此文章被良牙在2006-11-17 16:50重新编辑 ]

此文章被评分,最近评分记录
财富:50 (by upside) | 理由: 感谢提供资讯 数位男女因你而丰富



献花 x1 回到顶端 [5 楼] From:台湾中华电信 | Posted:2006-11-17 16:38 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

这一支 威金真的很讨厌 我也中了这一只
爱玩的结果 不过还好 卡巴能清除掉它
但是要全硬碟扫瞄 小硬碟还无所谓
小弟的硬碟共2000G 结果花了一星期才完成
_DEKTOP.INI 产生的这个档案 必须使用搜寻
一次全部找出来 再全数删除即可


爸爸 你一路好走
献花 x0 回到顶端 [6 楼] From:台湾 | Posted:2006-11-17 16:51 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.055416 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言