Phát hiện 12, 29, 2006
Cập nhật 1, 5, 2007 11:26:53 AM PST
Kiểu : Luder.A [F-Secure], W32/Dref-{U, V} [Sophos], WORM_NUWAR.{AY, BH} [Trend Micro]
Có kick thứoc khoảng : 17,559 bytes; 6,295 bytes
Những hệ thống ảnh hưởng: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Khi bị nhiễm W32.Mixor.Q@thì nó sẽ khởi tạo ra file sau vào hệ thống
Khởi tạo một số file sau và hệ thống
· %System%\ppl.exe
· %System%\alsys.exe
· %System%\taskdir.exe
· %System%\adir.dll
%System%\adirss.exe
%Systemp% là một biến mà tham chiếu tới các folder. Theo mặc định sau: C:\Windows hoặc C:\Winnt.
%CurrentFolder%\[7 RANDOM CHARACTERS].exe
Add thêm giá trị có tên sau
"Agent" = "%System%\ppl.exe"
hoặc
"Agent" = "%System%\alsys.exe"
Thêm vào trường khóa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Sẽ khởi đọng khi bắt đầu stars Win
"taskdir"="%System%\taskdir.exe"
"adir"="%System%\adirss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
so that it executes whenever Windows starts.
2. Modifies the value:
"Start" = "4"
in the registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
to disable the Shared Access service.
3. Ends security-related processes, if one of the following words is included in the window title:
· anti
· avg
· avp
· blackice
· f-pro
· firewall
· hijack
· lockdown
· mcafee
· msconfig
· nav
· nod32
· rav
· reged
· Registry Editor
· spybot
· taskmgr
· troja
· viru
· vsmon
· zonea
Tự download từ địa chỉ sau
[http://]81.177.3.92/cntr[REMOVED]
· [http://]81.177.3.169/dir/gam[REMOVED]
· [http://]81.177.3.169/dir/gam[REMOVED]
· [http://]81.177.3.169/dir/gam[REMOVED]
· [http://]81.177.3.169/dir/gam[REMOVED]:
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name
· .htm
· .txt
· .hta
· .mil
· .gov
· .lst
· .dat
· .jsp
· .dhtm
· .mht
· .cgi
· .uin
· .oft
· .xls
· .sht
· .tbb
· .adb
· .wsh
· .pl
· .php
· .asp
· .cfg
· .ods
· .mmf
· .nch
· .eml
· .mdx
· .mbx
· .dbx
· .xml
· .stm
· .shtm
· .htm
· .msg
· .txt
· .wab
Thu nhật những địa chỉ mail mà nó tìm đựoc :
· postmaster@
· root@
· local
· noreply
· @avp.
· pgp
· spam
· cafee
· panda
· abuse
· samples
· winrar
· winzip
· @messagelab
· free-av
· @iana
· @foo
· sopho
· certific
· listserv
· linux
· bsd
· unix
· ntivi
· support
· icrosoft
· admin
· kasp
· noone@
· nobody@
· info@
· help@
· gold-certs@
· feste
· contract@
· bugs@
· anyone@
· update
· news
· f-secur
· rating@
· @microsoft
Posts the above email addresses to the following location:
81.177.26.26\1.jpg
Tự động sủ dụng phương thức truyền file smtp gửi đến mọt số địa chỉ với nội dung sau
From:
The From address is spoofed.
Subject:
One of the following:
Happy New Year!
Sparkling Happiness And Good Times!
Baby New Year!
Fun 2007!
Raising A Toast To Happy Times!
Best Wishes For A Happy New Year!
Warmest Wishes For New Year!
New Year... Happy Year!
Promises Of Happy Times!
Annual Fun Forecast!
Scale Greater Heights!
Happiness In Everything!
Happiness And Continued Success!
Happy Times And Happy Memories!
Warm New Year Hug!
Raising A Toast To Happy Times!
Message body:
[BLANK]
Attachment:
One of the following:
postcard.exe
Greeting Card.exe
greetingcard.exe
greeting postcard.exe
greetingpostcard.exe
K huyến cáo :
Symantec động viên tất cả những người người sử dụng và người quản trị để tham gia vào sự an toàn của dữ liệu
Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như hệ điều hành, thiết đặt lại những dịch vụ mà không phải FPT server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FPT, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử dụng đuôi: ( .vbs, .bat, .exe, .pif and .scr).
Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
Cách diệt
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Edition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Edition 9.0
3. Chạy và quét toàn bộ hệ thống.
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
a. Click Start > Run .
b. Type regedit
c. Click OK .
Chỉnh sửa khóa sau
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Tìm đến và xóa giá trị sau
"agent" = "%System%\ppl.exe"
Hoặc
"agent" = "%System%\alsys.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"taskdir"="%System%\taskdir.exe"
"adir"="%System%\adirss.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Start" = "4"
Thoát khỏi Registry
0 nhận xét:
Đăng nhận xét