2011-03-16
利用gif副檔名掩飾蠕蟲真身
Win32/Neeris.A將對外輸出主機資訊
文: Goofy Ko / 新聞中心
文章索引: IT要聞 ESET

面對用家對預防病毒的驚覺性提高,部份黑客在散播玲毒時更需花心思策劃,其中據防毒軟件高 ESET NOD32 16 日表示,最新發現一個被命名為 Win32/Neeris.A 的檔案,其披著 gif 的副檔名,但內裡卻其實是一個 PE 檔案,目的是為了掩飾真身,讓用家減低警覺性。

 

據 ESET NOD32 指出, Win32/Neeris.A 蠕蟲是一個徹頭徹尾的 PE 檔案,運行以後在系統資料夾和暫存資料夾中生成一系列可執行檔案,並改寫註冊表鍵值來完成自身的開機即啟動的設定。

 

一旦受到該蠕蟲入侵,病毒會嘗試修改首頁,並在背景連上網路,下載名稱為 916914836.gif 和 452637691.gif 的檔案伺機運行,並且會私下建立與遠端 IRC 伺服器的連接,對外傳輸大量系統主機的資訊、並查詢著其他的主機來試圖傳播。

 

如不慎誤遭此蠕蟲入侵,用家可利用防毒軟件,或是以手動處理清除,首先,用家需在安全模式下進入 Windows 作業系統,然後到到路徑 C:\Documents and Settings\ [ UserName ] \Local Settings\Temp\ 刪除 eraseme_83102.exe 檔案,再到 C:\Windows 或者 C:\Winnt 路徑下刪除 xanga.exe 以及 iep.exe 檔案。

 

之後,用家可在「開始」的「執行」中輸入 ”regedit.exe” 並按下確認,然後系統會開啟註冊表編輯器,用家請刪除以下註冊表鍵值:


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
以及以下鍵值下面的子鍵
[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]
      Service Noits = " xanga.exe "
[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run ]
      Service Noits = " xanga.exe "
[ HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel ]
      HomePage = 0x00000001

 

然後使用 CCleaner 之類的清理工具來清理殘留或破損的註冊表資訊,再使用 System Repair Engineer 來修復所列舉的其它錯誤便可。

 

Eset HQ

分享到:
發表評論
本篇文章被 11532 人閱讀,共有 個評論