"橫霸霸"

2008年7月15日 星期二

具有鍵擊記錄的Backdoor.Prosti的木馬程式

病毒型態:

木馬程式

影響平台: 

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

說明: 

Backdoor.Prosti是一個帶有後門之木馬程式,同時該木馬程式具有鍵擊記錄的能力並會降低被感染電腦的安全設定

Backdoor.Prosti被執行時,執行下列動作:

1. 複製自己到 %System%\lass..exe
%System%是一個泛指系統資料夾的變數,在系統中預設為C:\Windows\System (Windows95/98/Me),C:\Winnt\System32 (Windows NT/2000),C:\Windows\System32 (Windows XP)。 

2. 在下列登錄檔位置加入新值為"Shell" = "Explorer.exe %system%\lass..exe",以便每次開機時能夠執行此一木馬程式。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

3. 建立下列檔案,啟用鍵擊記錄的功能:
��%System%\service.dll
��%System%\service[RANDOM NUMBER].dll


4. 開啟後門並允許遠端攻擊者連入進行任何未獲授權的行為。

(a) RavMon.exe 
(b) TfLockDownMain 
(c) ZoneAlarm 
(d) PasswordGuard.exe
(e) KVXP.KXP 
(f) KVMonXP.KXP 
(g) EGHOST.EXE 
(h) MAILMON.EXE 
(i) KAVPFW.EXE 
(j) IPARMOR.EXE 
(k) _AVP32.EXE 
(l) _AVPCC.EXE 
(m) _AVPM.EXE 
(n) AVP32.EXE 
(o) AVPCC.EXE 
(p) AVPM.EXE 
(q) AVP.EXE 
(r) NAVAPW32.EXE
(s) NAVW32.EXE 


6. 可能刪除下列登錄機碼:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\WinOldApp\NoRealMode

7. 連接下列URL
[http://]www.tencent.com/[REMOVED]/ip.txt

解決方案: 

1. 清除系統復原器 (Windows Me/XP)。 

系統復原能夠使系統回復到預設狀態,假如電腦的資料毀損可以用來復原資料。若是電腦受到了病毒蠕蟲或是木馬感染,系統復原也會記錄他們。Windows 預防任何外部程式來修改系統復原,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統復原資料夾中的威脅。這麼一來即使你已經在其他的資料夾清除了感染的檔案還是有可能經由系統復原來回復受感染的檔案。清除系統復原的方法可以閱讀Windows 的文件或是參考以下網頁:

清除Windows Me系統復原:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/ 2001012513122239?OpenDocument&src=sec_doc_nam

清除Windows XP系統復原:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/ 2001111912274039?OpenDocument&src=sec_doc_nam

2. 接下來依據是否你電腦有無防毒軟體分為:

a. 若是你已經安裝了防毒軟體,請更新你的防毒軟體的病毒定義檔,以安全模式或是命令提示列的安全模式重新啟動電腦,使用你的防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
b. 或是可以使用免費的線上掃毒 
http://www.precisesecurity.com/antivirus/online-scan.htm
c. 若是沒有防毒軟體的話,請刪除上列病毒說明中被感染檔案。但是有可能會造成系統的不穩定,如有必要可能需要修復你的作業系統。

3. 重新啟動電腦或作業系統進入安全模式。

4. 修改木馬程式在下列登錄機碼中所改變的"Shell" = "Explorer.exe %system%\lass..exe"為"Shell" = "Explorer.exe:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

5. 刪除下列由木馬程式所建立的檔案:
��%System%\service.dll
��%System%\service[RANDOM NUMBER].dll


資料來源:賽門鐵克公司

文章評論Windows系統還原是吞食硬碟空間的巨獸,常時間使用容易造成硬碟空間的不足,各位如果有開啟Windows系統還原可以到各磁碟分割區看看System Volume Information個目錄是否過一段時就容量就一直增加,Vista雖然在系統還原有所精進但也是有一樣間題。

如果電腦受到了病毒蠕蟲或是木馬感Windows系統還原他也會幫你還原,所以建議還是關閉吧。

沒有留言: