 討論區主頁 防木馬討論
2008-01-10 竊取線上遊戲帳密的 Infostealer.Onlinegame木馬 | 無發表權 |
| 樹狀顯示 | 新的在前 | 前一個主題 | 下一個主題 | 頁尾 |
| 發表者 | 討論內容 |
|---|---|
| wisdom | 發表時間: 2008-01-21 10:46 |
站長   註冊日: 2006-08-14 來自: 發表數: 27 |
2008-01-10 竊取線上遊戲帳密的 Infostealer.Onlinegame木馬 病毒型態: 木馬
影響平台: Windows 98, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 概述: Infostealer.Onlinegame 竊取線上遊戲帳密的木馬。 包含:魔獸世界、楓之谷、MSN遊戲特區、Yahoo遊戲樂園。 說明: 當 W32.Ceted 執行時,會產生下列動作: 1.透過蓄意製作的惡意網站,下載下列檔案而來: %CurrentFolder%\2.bat 2.建立下列檔案: %Windir%\Help\F3C74E3FA248.dll %Windir%\Help\F3C74E3FA248.exe 3.建立下列登錄項目: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ ShellExecuteHooks\"{1DBD6574-D6D0-4782-94C3-69619E719765}" = "" 4.建立下列子登錄機碼: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765} 5.感染 EXPLORER.EXE程序。 6.竊取下列遊戲的帳密資訊: MapleStory(楓之谷) World of Warcraft(魔獸世界) MSN Games(MSN遊戲特區) Yahoo Messenger(Yahoo遊戲樂園) 7.透過本身的SMTP傳送包含上述資訊的電子郵件。 8.透過下列網址,傳送收集來的資訊: [http://]www.b8591.com/tw888/upfil[REMOVED] [http://]www.b8591.com/tw888/sendma[REMOVED] [http://]www.b8591.com/tw888/upfile[REMOVED] 9.下載下列潛在的惡意檔案: [http://]www.microsoftmg.com/gut/mgg[REMOVED]解決方案: 1.暫時關閉系統還原功能 (Windows Me/XP) 系統還原功能能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。 系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改 系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾 中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。 關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁: 關閉Windows Me還原功能 關閉Windows XP還原功能 2.更新病毒定義檔 至所使用防毒軟體之公司網站下載最新的病毒定義檔 賽門鐵克 趨勢科技 3.執行全系統掃描 (a)執行防毒軟體,並設定為執行全系統掃描 (b)如果偵測到病毒,則採取防毒軟體所建議的步驟 (註1)如果沒有防毒軟體,可以到以下網站線上掃毒: http://www.kaspersky.com.tw/virusscanner/# http://www3.ca.com/securityadvisor/virusinfo/scan.aspx http://housecall.trendmicro.com/ (註2)如果防毒軟體無法刪除病毒,則需重新啟動至安全模式, 依防毒軟體指示刪除病毒,再進行下一步驟。 (註3)如果出現檔案遺失的訊息,在完全移除病毒後便不會再出現,請點選「確定」略過訊息。 (註4)如何開啟安全模式請參考。 http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid /2001052409420406?OpenDocument&src=sec_doc_nam (c)如果掃描出任何病毒,請刪除病毒 (註)假如防毒產品無法移除受感染的檔案,請以安全模式開啟,並再次執行掃毒程序, 移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息 (Warning messages),因為此時威脅仍未完全解除,可忽略此警訊點選OK, 指令完全移除後,重新開機便不會再出現警訊,警告訊息呈現如下列所示: Title: [FILE PATH] Message body: Windows cannot find [FILE NAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search. 4.刪除登入檔內的值(value): (a)滑鼠左鍵點選 開始\執行 (b)鍵入 regedit (c)滑鼠左鍵點選 確定 (d)刪除下列登錄項目: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ ShellExecuteHooks\"{1DBD6574-D6D0-4782-94C3-69619E719765}" = "" (e)刪除下列子登錄項目: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765} (f)離開登錄檔編輯器 參考資料:國家資通安全會報技術服務中心 參考資料:賽門鐵克公司 |
| 樹狀顯示 | 新的在前 | 前一個主題 | 下一個主題 | 頁首 |
| 無發表權 | |