2011-3-19 10:37
bunnylai
利用gif副檔名掩飾蠕蟲真身 Win32/Neeris.A將對外輸出主機資訊
面對用家對預防病毒的驚覺性提高,部份黑客在散播玲毒時更需花心思策劃,其中據防毒軟件高 ESET NOD32 16 日表示,最新發現一個被命名為 Win32/Neeris.A 的檔案,其披著 gif 的副檔名,但內裡卻其實是一個 PE 檔案,目的是為了掩飾真身,讓用家減低警覺性。
據 ESET NOD32 指出, Win32/Neeris.A 蠕蟲是一個徹頭徹尾的 PE 檔案,運行以後在系統資料夾和暫存資料夾中生成一系列可執行檔案,並改寫註冊表鍵值來完成自身的開機即啟動的設定。
一旦受到該蠕蟲入侵,病毒會嘗試修改首頁,並在背景連上網路,下載名稱為 916914836.gif 和 452637691.gif 的檔案伺機運行,並且會私下建立與遠端 IRC 伺服器的連接,對外傳輸大量系統主機的資訊、並查詢著其他的主機來試圖傳播。
如不慎誤遭此蠕蟲入侵,用家可利用防毒軟件,或是以手動處理清除,首先,用家需在安全模式下進入 Windows 作業系統,然後到到路徑 C:\Documents and Settings\ [ UserName ] \Local Settings\Temp\ 刪除 eraseme_83102.exe 檔案,再到 C:\Windows 或者 C:\Winnt 路徑下刪除 xanga.exe 以及 iep.exe 檔案。
之後,用家可在「開始」的「執行」中輸入 ”regedit.exe” 並按下確認,然後系統會開啟註冊表編輯器,用家請刪除以下註冊表鍵值:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
以及以下鍵值下面的子鍵
[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]
Service Noits = " xanga.exe "
[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run ]
Service Noits = " xanga.exe "
[ HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel ]
HomePage = 0x00000001
然後使用 CCleaner 之類的清理工具來清理殘留或破損的註冊表資訊,再使用 System Repair Engineer 來修復所列舉的其它錯誤便可。
[align=center][img]http://www.hkepc.com/database/images/2009/09/640x480/09175453931854992206.jpg[/img][/align]