路過MIS的睏貓

http://www.twncert.org.tw/tw/security_solution_content.php?id=3218
日期：2008-02-19

名稱：下載其它惡意程式的 W32.Mikbaland蠕蟲

類別：蠕蟲

簡介：W32.Mikbaland 下載其它惡意程式並散播到所有分享與行動裝置中的蠕蟲。

受影響系統：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

內容：當 W32.Mikbaland 執行時，會產生下列動作：
1.建立下列檔案：
　C:\1.hiv
　C:\2.hiv
　C:\AUTORUN.INF
2.復製本身成下列檔案：
　%System%\iexplorer.exe
　%System%\wuauc1t.exe
3.復製到所有分享與行動裝置中：
　%DriveLetter%\explorer.exe
4.復製 %System%\urlmon.dll檔到下列檔案中：
　%System%\urlurl.dll
5.建立下列登錄機碼，當windows每次啟動時執行：
　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
　"IEXPLORER"="%System%\iexplorer.exe"
6.建立下列子登錄機碼：
　HKEY_CURRENT_USER\Software\mmtest
　HKEY_CURRENT_USER\Software\mmtest\IEXPLORER
7.修改下列登錄機碼：
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
　advanced\folder\hidden\showall\"CheckedValue" = "0"
8.修改下列登錄機碼，取代應用程式：
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　Image File Execution Options\[FILE NAME]\"Debugger" = "%System%\wuauc1t.exe"
9.[FILE NAME]可為任何執行檔，不包含下列字串：
　360rpt.EXE
　360safe.EXE
　360tray.EXE
　ANTIARP.exe
　Ast.EXE
　AutoRunKiller.exe
　AvMonitor.EXE
　AVP.EXE
　CCenter.EXE
　Frameworkservice.EXE
　IceSword.EXE
　Iparmor.EXE
　KASARP.exe
　KRegEx.EXE
　KVMonxp.kxp
　KVSrvXP.EXE
　KVWSC.EXE
　Mmsk.EXE
　Navapsvc.EXE
　Nod32kui.EXE
　QQDOCTOR.EXE
　Regedit.EXE
　VPC32.exe
　VPTRAY.exe
　WOPTILITIES.EXE
　Wuauclt.EXE
10.結束下列程序：
　360Safe.exe
　360tray.exe
　ANTIARP.exe
　KASARP.exe
　KRegEx.exe
　kvsrvxp.exe
　KVWSC.EXE
　runiep.exe
　scan32.exe
　TBMon.exe
　UpdaterUI.exe
　VPC32.exe
　VPTRAY.exe
　VsTskMgr.exe
11.連接下列網址下載檔案：
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/10.[REMOVED]
　[http://]2.trojan8.com/dd/11.[REMOVED]
　[http://]2.trojan8.com/dd/12.[REMOVED]
　[http://]2.trojan8.com/dd/13.[REMOVED]
　[http://]2.trojan8.com/dd/14.[REMOVED]
　[http://]2.trojan8.com/dd/15.[REMOVED]
　[http://]2.trojan8.com/dd/16.[REMOVED]
　[http://]2.trojan8.com/dd/17.[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/[REMOVED]
　[http://]2.trojan8.com/dd/ar.[REMOVED]
　[http://]2.trojan8.com/dd/do.[REMOVED]
　[http://]2.trojan8.com/dd/gz.[REMOVED]
　[http://]2.trojan8.com/dd/self[REMOVED]

解決方案：1.暫時關閉系統還原功能 (Windows Me/XP)
　系統還原功能能夠使系統回復到預設狀態，假如電腦的資料毀損，則可以用來復原資料。
　系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改
　系統還原功能，當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾
　中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。
　關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁：
　關閉Windows Me還原功能
　關閉Windows XP還原功能
2.更新病毒定義檔
　至所使用防毒軟體之公司網站下載最新的病毒定義檔
　賽門鐵克
　趨勢科技
3.執行全系統掃描
　(a)執行防毒軟體，並設定為執行全系統掃描
　(b)如果偵測到病毒，則採取防毒軟體所建議的步驟
　(註1)如果沒有防毒軟體，可以到以下網站線上掃毒：
　http://www.kaspersky.com.tw/virusscanner/#
　http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
　http://housecall.trendmicro.com/
　(註2)如果防毒軟體無法刪除病毒，則需重新啟動至安全模式，
　　　 依防毒軟體指示刪除病毒，再進行下一步驟。
　(註3)如果出現檔案遺失的訊息，在完全移除病毒後便不會再出現，請點選「確定」略過訊息。
　(註4)如何開啟安全模式請參考。
　http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid
　/2001052409420406?OpenDocument&src=sec_doc_nam
　(c)如果掃描出任何病毒，請刪除病毒
　(註)假如防毒產品無法移除受感染的檔案，請以安全模式開啟，並再次執行掃毒程序，
　　　移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息
　　　(Warning messages)，因為此時威脅仍未完全解除，可忽略此警訊點選OK，
　　　指令完全移除後，重新開機便不會再出現警訊，警告訊息呈現如下列所示：
　　　Title: [FILE PATH]
　　　Message body: Windows cannot find [FILE NAME].
　　　Make sure you typed the name correctly, and then try again.
　　　To search for a file, click the Start button, and then click Search.
4.刪除登入檔內的值(value)：
　(a)滑鼠左鍵點選 開始\執行
　(b)鍵入 regedit
　(c)滑鼠左鍵點選 確定
　(d)刪除下列登錄項目：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
　　"IEXPLORER"="%System%\iexplorer.exe"
　(e)刪除下列子登錄項目：
　　HKEY_CURRENT_USER\Software\mmtest
　　HKEY_CURRENT_USER\Software\mmtest\IEXPLORER
　(f)如有需要，恢復下列登錄項目初始值：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
　　advanced\folder\hidden\showall\"CheckedValue" = "0"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
　　Image File Execution Options\[FILE NAME]\"Debugger" = "%System%\wuauc1t.exe"
　[FILE NAME]可為任何執行檔，不包含下列字串：
　　360rpt.EXE
　　360safe.EXE
　　360tray.EXE
　　ANTIARP.exe
　　Ast.EXE
　　AutoRunKiller.exe
　　AvMonitor.EXE
　　AVP.EXE
　　CCenter.EXE
　　Frameworkservice.EXE
　　IceSword.EXE
　　Iparmor.EXE
　　KASARP.exe
　　KRegEx.EXE
　　KVMonxp.kxp
　　KVSrvXP.EXE
　　KVWSC.EXE
　　Mmsk.EXE
　　Navapsvc.EXE
　　Nod32kui.EXE
　　QQDOCTOR.EXE
　　Regedit.EXE
　　VPC32.exe
　　VPTRAY.exe
　　WOPTILITIES.EXE
　　Wuauclt.EXE
　(g)離開登錄檔編輯器