2009-12-15
以系統用戶名名義加載蠕蟲
Win32/Dewnad.AD 蠕蟲病毒示警
文: Gary Ng / 新聞中心
文章索引: IT要聞 軟件 ESET NOD32

防毒軟件廠商 ESET NOD32 發表最新病毒示警,此次發現的病毒主要以系統用戶名名義加載的 svchost 進程來企圖迷惑用戶,因而命名為 Win32/Dewnad.AD 蠕蟲,萬一用家的系統受此病毒感染,將引致系統自行創建部份項目,同時影響 , 區域網內系統。

 

Svchost 是系統後台重要的高級通信接口程序,常有些病毒以 svch0st.exe 等形式偽裝加載運行於系統上實施惡意行為,此次發現的 Win32/Dewnad.AD 蠕蟲透過生成兩個以系統用戶名名義加載的 svchost 進程運作,一旦感染主要會引起電腦創建開機隨機啟動項目、創建一個 32 位的系統運行進程,用於和外部伺服器的通信,同時在區域網內攻擊傳播能力。

 

假如系統不小心受感染,應立即下載防毒軟體並升級到最新病毒庫後全系統掃描,此外亦用家可作手動刪除,首先用家應手動結束工作管理員裏的兩個 svchost.exe 進程,並刪除 C:\Documents and Settings\ [ UserName ] \Application Data\Microsoft 及 C:\Documents and Settings\ [ UserName ] \Application Data\Temp ,然後再刪除

[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ]

svchost.exe = " %AppData%\Microsoft\svchost.exe "

[ HKEY_LOCAL_MACHINE\SOFTWARE\Licenses ]

[ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ { 9A57A3EE-DDC7-C695-611B-682D5E74BABA }

[ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ { 9A57A3EE-DDC7-C695-611B-682D5E74BABA } \InProcServer32

 

註冊表項,最後重啟系統即可。

 

Eset HQ

分享到:
發表評論
本篇文章被 11639 人閱讀,共有 個評論