病毒型態: 蠕蟲影響平台: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 概述: W32.Vapka.A 竊取機敏資訊並透過行動置散播的蠕蟲。
說明:
當W32.Vapka.A執行時,會產生下列動作:
1.復製本身下列檔案︰
%Windir%\Registration\R0000000000Hx.clb
%Windir%\wuaucl.exe
2.建立下列檔案:
%Windir%\$NtUninstallKB893339$\systems.dat
%Windir%\$NtUninstallKB893339$\mashine.dat
%Windir%\$NtUninstallKB893339$\exported.pfx
3.修改下列登錄機碼,讓windows每次開機時,執行該蠕蟲:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"Userinit" = "%SYSTEM%\userinit.exe %Windir%\wuaucl.exe"
4.建立下列子登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Microsoft Security
5.建立下列登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Microsoft Security\
"DLLName" = "manager.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Microsoft Security\
"EntryPoint" = "Start"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Microsoft Security\
"StackSize" = "0"
6.修改下列登錄機碼:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\
"AppInit_DLLs" = "mslogon.dll"
7.釋出下列檔案:
%Windir%\iexplore.exe (detected as Trojan Horse) -
the component to send stolen information to the remote attacker
%Windir%\System32\mslogon.dll - (detected as Trojan Horse) -
component that steals Windows login credentials
%Windir%\diskguard.dll - keylogging component
%Windir%\find32.exe - deletes browser caches and cached password files
%Windir%\mspwd.exe - infostealer component that steals mail account details
from The Bat! and Mail.Ru Agent
%Windir%\System32\manager.dll
%Windir%\System32\ckcn.exe - infostealer component that steals certificate info
8.使下列安全相關的程式失效:
ZoneAlarm
Agnitum Outpost Firewall
9.復製本身成下列檔案,到行動裝置中:
%DriveLetter%\RECYCLER\kavpa.exe
10.當行動裝置存取時,釋出 %DriveLetter%\autorun.inf檔來執行 kavpa.exe。
11.刪除下列檔案:
%UserProfile%\Cookies\*.txt
*\wand.dat
解決方案:
1.暫時關閉系統還原功能 (Windows Me/XP)
系統還原功能能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。
系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改
系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾
中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。
關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁:
關閉Windows Me還原功能
關閉Windows XP還原功能
2.更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克
趨勢科技
3.執行全系統掃描
(a)執行防毒軟體,並設定為執行全系統掃描
(b)如果偵測到病毒,則採取防毒軟體所建議的步驟
(註1)如果沒有防毒軟體,可以到以下網站線上掃毒:
https://www.kaspersky.com.tw/virusscanner/#
https://www3.ca.com/securityadvisor/virusinfo/scan.aspx
https://housecall.trendmicro.com/
(註2)如果防毒軟體無法刪除病毒,則需重新啟動至安全模式,
依防毒軟體指示刪除病毒,再進行下一步驟。
(註3)如果出現檔案遺失的訊息,在完全移除病毒後便不會再出現,請點選「確定」略過訊息。
(註4)如何開啟安全模式請參考。
https://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid
/2001052409420406?OpenDocument&src=sec_doc_nam
(c)如果掃描出任何病毒,請刪除病毒
(註)假如防毒產品無法移除受感染的檔案,請以安全模式開啟,並再次執行掃毒程序,
移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息
(Warning messages),因為此時威脅仍未完全解除,可忽略此警訊點選OK,
指令完全移除後,重新開機便不會再出現警訊,警告訊息呈現如下列所示:
Title: [FILE PATH]
Message body: Windows cannot find [FILE NAME].
Make sure you typed the name correctly, and then try again.
To search for a file, click the Start button, and then click Search.
4.刪除登入檔內的值(value):
(a)滑鼠左鍵點選 開始\執行
(b)鍵入 regedit
(c)滑鼠左鍵點選 確定
(d)刪除下列子登錄項目:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Microsoft Security
(e)如有需要,恢復下列登錄項目初始值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"Userinit" = "%SYSTEM%\userinit.exe %Windir%\wuaucl.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\
"AppInit_DLLs" = "mslogon.dll"
(f)離開登錄檔編輯器
參考資料:
https://www.symantec.com/business/security_response/writeup.jsp?docid=2007-122617-2110-99 |
|
收藏
分享
分享
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
