http://www.twncert.org.tw/tw/security_solution_content.php?id=3218
日期:2008-02-19
名稱:下載其它惡意程式的 W32.Mikbaland蠕蟲
類別:蠕蟲
簡介:W32.Mikbaland 下載其它惡意程式並散播到所有分享與行動裝置中的蠕蟲。
受影響系統:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
內容:當 W32.Mikbaland 執行時,會產生下列動作:
1.建立下列檔案:
C:\1.hiv
C:\2.hiv
C:\AUTORUN.INF
2.復製本身成下列檔案:
%System%\iexplorer.exe
%System%\wuauc1t.exe
3.復製到所有分享與行動裝置中:
%DriveLetter%\explorer.exe
4.復製 %System%\urlmon.dll檔到下列檔案中:
%System%\urlurl.dll
5.建立下列登錄機碼,當windows每次啟動時執行:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
"IEXPLORER"="%System%\iexplorer.exe"
6.建立下列子登錄機碼:
HKEY_CURRENT_USER\Software\mmtest
HKEY_CURRENT_USER\Software\mmtest\IEXPLORER
7.修改下列登錄機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
advanced\folder\hidden\showall\"CheckedValue" = "0"
8.修改下列登錄機碼,取代應用程式:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\[FILE NAME]\"Debugger" = "%System%\wuauc1t.exe"
9.[FILE NAME]可為任何執行檔,不包含下列字串:
360rpt.EXE
360safe.EXE
360tray.EXE
ANTIARP.exe
Ast.EXE
AutoRunKiller.exe
AvMonitor.EXE
AVP.EXE
CCenter.EXE
Frameworkservice.EXE
IceSword.EXE
Iparmor.EXE
KASARP.exe
KRegEx.EXE
KVMonxp.kxp
KVSrvXP.EXE
KVWSC.EXE
Mmsk.EXE
Navapsvc.EXE
Nod32kui.EXE
QQDOCTOR.EXE
Regedit.EXE
VPC32.exe
VPTRAY.exe
WOPTILITIES.EXE
Wuauclt.EXE
10.結束下列程序:
360Safe.exe
360tray.exe
ANTIARP.exe
KASARP.exe
KRegEx.exe
kvsrvxp.exe
KVWSC.EXE
runiep.exe
scan32.exe
TBMon.exe
UpdaterUI.exe
VPC32.exe
VPTRAY.exe
VsTskMgr.exe
11.連接下列網址下載檔案:
[http://]2.trojan8.com/dd/[REMOVED]
[http://]2.trojan8.com/dd/10.[REMOVED]
[http://]2.trojan8.com/dd/11.[REMOVED]
[http://]2.trojan8.com/dd/12.[REMOVED]
[http://]2.trojan8.com/dd/13.[REMOVED]
[http://]2.trojan8.com/dd/14.[REMOVED]
[http://]2.trojan8.com/dd/15.[REMOVED]
[http://]2.trojan8.com/dd/16.[REMOVED]
[http://]2.trojan8.com/dd/17.[REMOVED]
[http://]2.trojan8.com/dd/[REMOVED]
[http://]2.trojan8.com/dd/[REMOVED]
[http://]2.trojan8.com/dd/[REMOVED]
[http://]2.trojan8.com/dd/[REMOVED]
[http://]2.trojan8.com/dd/[REMOVED]
[http://]2.trojan8.com/dd/[REMOVED]
[http://]2.trojan8.com/dd/[REMOVED]
[http://]2.trojan8.com/dd/[REMOVED]
[http://]2.trojan8.com/dd/ar.[REMOVED]
[http://]2.trojan8.com/dd/do.[REMOVED]
[http://]2.trojan8.com/dd/gz.[REMOVED]
[http://]2.trojan8.com/dd/self[REMOVED]
解決方案:1.暫時關閉系統還原功能 (Windows Me/XP)
系統還原功能能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。
系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改
系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾
中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。
關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁:
關閉Windows Me還原功能
關閉Windows XP還原功能
2.更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克
趨勢科技
3.執行全系統掃描
(a)執行防毒軟體,並設定為執行全系統掃描
(b)如果偵測到病毒,則採取防毒軟體所建議的步驟
(註1)如果沒有防毒軟體,可以到以下網站線上掃毒:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
(註2)如果防毒軟體無法刪除病毒,則需重新啟動至安全模式,
依防毒軟體指示刪除病毒,再進行下一步驟。
(註3)如果出現檔案遺失的訊息,在完全移除病毒後便不會再出現,請點選「確定」略過訊息。
(註4)如何開啟安全模式請參考。
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid
/2001052409420406?OpenDocument&src=sec_doc_nam
(c)如果掃描出任何病毒,請刪除病毒
(註)假如防毒產品無法移除受感染的檔案,請以安全模式開啟,並再次執行掃毒程序,
移除受感染的檔案後再重新開機至正常模式。重新開機時會有警告訊息
(Warning messages),因為此時威脅仍未完全解除,可忽略此警訊點選OK,
指令完全移除後,重新開機便不會再出現警訊,警告訊息呈現如下列所示:
Title: [FILE PATH]
Message body: Windows cannot find [FILE NAME].
Make sure you typed the name correctly, and then try again.
To search for a file, click the Start button, and then click Search.
4.刪除登入檔內的值(value):
(a)滑鼠左鍵點選 開始\執行
(b)鍵入 regedit
(c)滑鼠左鍵點選 確定
(d)刪除下列登錄項目:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
"IEXPLORER"="%System%\iexplorer.exe"
(e)刪除下列子登錄項目:
HKEY_CURRENT_USER\Software\mmtest
HKEY_CURRENT_USER\Software\mmtest\IEXPLORER
(f)如有需要,恢復下列登錄項目初始值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\
advanced\folder\hidden\showall\"CheckedValue" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\[FILE NAME]\"Debugger" = "%System%\wuauc1t.exe"
[FILE NAME]可為任何執行檔,不包含下列字串:
360rpt.EXE
360safe.EXE
360tray.EXE
ANTIARP.exe
Ast.EXE
AutoRunKiller.exe
AvMonitor.EXE
AVP.EXE
CCenter.EXE
Frameworkservice.EXE
IceSword.EXE
Iparmor.EXE
KASARP.exe
KRegEx.EXE
KVMonxp.kxp
KVSrvXP.EXE
KVWSC.EXE
Mmsk.EXE
Navapsvc.EXE
Nod32kui.EXE
QQDOCTOR.EXE
Regedit.EXE
VPC32.exe
VPTRAY.exe
WOPTILITIES.EXE
Wuauclt.EXE
(g)離開登錄檔編輯器