感染執行檔的 W32.Lurkasys.A病毒

病毒型態：
病毒

影響平台：
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

概述：
W32.Lurkasys.A 會感染執行檔的病毒。 釋出復製的Backdoor.Bifrose.


說明：
當 W32.Lurkasys.A 執行時，會產生下列動作：
1.建立下列檔案︰
　%System%\drivers\opengl.sys
　%System%\WUpdate$!.TMP
2.建立下列登錄機碼，讓windows每次開機時，執行該蠕蟲：
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"BootClean"
　="smartdrv.exe"
3.隱藏下列登錄機碼：
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4.利用 %System%\drivers\opengl.sys 來阻止Windows以安全模式開啟。
5.建立下列特性的服務：
　Service name: Kernel OpenGL Service
　Startup type: Automatic
6.修改下列登錄機碼：
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\"DisplayName" =
　"Kernel OpenGL Service"
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\"ErrorControl" = "0"
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\"Group" = "Boot Bus Extender"
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\"ImagePath" =
　"%System%\drivers\opengl.sys"
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\"Start" = "0"
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\"Tag" = "1"
　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\"Type" = "1"
7.感染所有執行檔。
8.下載更多的惡意程式，包含Backdoor.Bifrose。

解決方案：
1.暫時關閉系統還原功能 (Windows Me/XP)
　系統還原功能能夠使系統回復到預設狀態，假如電腦的資料毀損，則可以用來復原資料。
　系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改
　系統還原功能，當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾
　中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。
　關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁：
　關閉Windows Me還原功能
　關閉Windows XP還原功能
2.更新病毒定義檔
　至所使用防毒軟體之公司網站下載最新的病毒定義檔
　賽門鐵克
　趨勢科技
3.執行全系統掃描
　(a)執行防毒軟體，並設定為執行全系統掃描
　(b)如果偵測到病毒，則採取防毒軟體所建議的步驟
　(註1)如果沒有防毒軟體，可以到以下網站線上掃毒：
　https://www.kaspersky.com.tw/virusscanner/#
　https://www3.ca.com/securityadvisor/virusinfo/scan.aspx
　https://housecall.trendmicro.com/
　(註2)如果防毒軟體無法刪除病毒，則需重新啟動至安全模式，
　　　 依防毒軟體指示刪除病毒，再進行下一步驟。
　(註3)如果出現檔案遺失的訊息，在完全移除病毒後便不會再出現，請點選「確定」略過訊息。
　(註4)如何開啟安全模式請參考。
　https://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid
　/2001052409420406?OpenDocument&src=sec_doc_nam
　(c)如果掃描出任何病毒，請刪除病毒
　(註)假如防毒產品無法移除受感染的檔案，請以安全模式開啟，並再次執行掃毒程序，
　　　移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息
　　　(Warning messages)，因為此時威脅仍未完全解除，可忽略此警訊點選OK，
　　　指令完全移除後，重新開機便不會再出現警訊，警告訊息呈現如下列所示：
　　　Title: [FILE PATH]
　　　Message body: Windows cannot find [FILE NAME].
　　　Make sure you typed the name correctly, and then try again.
　　　To search for a file, click the Start button, and then click Search.
4.刪除登入檔內的值(value)：
　(a)滑鼠左鍵點選 開始\執行
　(b)鍵入 regedit
　(c)滑鼠左鍵點選 確定
　(d)刪除下列子登錄項目：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
　　"BootClean" = "smartdrv.exe"
　(e)如有需要，恢復下列登錄項目初始值：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\
　　"DisplayName" = "Kernel OpenGL Service"
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\"ErrorControl" = "0"
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\
　　"Group" = "Boot Bus Extender"
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\
　　"ImagePath" = "%System%\drivers\opengl.sys"
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\"Start" = "0"
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\"Tag" = "1"
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OpenGL\"Type" = "1"
　(f)離開登錄檔編輯器

參考資料：
https://www.symantec.com/business/security_response/writeup.jsp?docid=2007-122608-5940-99