基本相關資料 | |
| 名稱 | W32.Downadup |
| 公佈日期 | 2008/11/22 |
| 風險級數 | 等級二 |
| 型態 | 病蟲 |
| 可攔阻的病毒定義檔 | Intelligent Updater: 11/23/2008 rev.4 XDB: vd2aee04.xdb X86: 20081123-004-x86.exe |
| MD5檢測xxx | XDB: 86E 3F497729837B2607B955E0DD67DB2 X86: 334A6B 9A 576006F 4A 4A373BEE53DB4B7 |
| 受影響的作業系統 | Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP |
| 傳播路徑 | Microsoft Windows RPC |
狀況說明 | |
| W32.Downadup是一種試圖透過Microsoft Windows RPC服務弱點執行遠端代xxx擴散的病毒。 當病蟲一旦執行後,會產生下列檔案: %System%\[RANDOM FILE NAME].dll 接下來,病蟲會刪除任何使用者所產生的系統還原點。 病蟲會產生下列服務: Name:netsvcs ImagePat:%SystemRoot%\\system32\\svchost.exe -k netsvcs 然後,該病蟲會產生下列登入機xxx: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \netsvcs\Parameters\"ServiceDll" = "[PathToWorm]" 病蟲會連接到以下列URL以取得受感染電腦的IP位址: http://www.getmyip.org http://getmyip.co.uk http://checkip.dyndns.org 接著,病蟲會從下列URL下載檔案並執行:[http://]trafficconverter.biz/4vir/antispyware/loada[REMOVED] 病蟲會產生一個使用隨機PORT的http伺服器在受感染電腦的上,例如: http://[EXTERNAL IP ADDRESS OF INFECTED MACHINE]:[RANDOM PORT] 病蟲接著會發送此 URL 當作資料的一部分至遠端電腦。 成功後遠端電腦將會連回到此 URL 並下載該病蟲程式。 用這種方式,病蟲透過被利用的電腦自行散播,相當於從一個預訂的位置下載。 接下來,病蟲會連接至一個UPnP router並且開啟http port。 病蟲接著會嘗試找到網路設備註冊成為Internet gateway,並與前面提到的 [隨機PORT] ,目的是為了使受感染電腦能夠存取而打開對外的網路連線。 病蟲接著會嘗試從下列URL下載檔案: [http://]www.maxmind.com/download/geoip/database/GeoIP.[REMOVED] 病蟲會試圖透過Microsoft Windows RPC服務弱點執行遠端代xxx來擴散(BID 31874)。 接下來,病蟲會嘗試連線到下列網站以取得正確日期: http://www.w3.org http://www.ask.com http://www.msn.com http://www.yahoo.com http://www.google.com http://www.baidu.com 病蟲會使用日期資訊藉以產生網域名稱的清單。 病蟲試圖在受感染電腦上下載檔案並連接到這些網域。 | |
移除方式 | |
| 1. 關閉「系統還原」(Windows Me/XP)。 2. 更新病毒定義檔。 3. 執行完整的系統掃描。 4. 刪除新增到登入檔的鍵值。 關於這些步驟的詳細資訊,請閱讀下列指示: 1. 關閉「系統還原」(Windows Me/XP)。 如果你使用的是Windows Me或Windows XP,我們建議你暫時關閉系統還原。Me或XP預設是打開這項功能的,回復這些檔案可能造成它們的損壞。如果是病毒,蠕蟲,或木馬感染了電腦,系統還原有可能備份這些檔案。 Windows預防外來的程式,包括防毒軟體修改系統還原。因此防毒軟體或工具無法移除系統還原資料夾裡面的威脅。因此即使你在其他的地方刪除了有感染的檔案,系統還原還是有可能存有受感染的檔案。 此外,病毒掃描可能會偵測到威脅在系統還原的資料夾即使你早就移除了威脅。 至於如何關閉作業系統上的系統還原功能可閱讀本機的Windows說明文件或參照下列連結裡的說明: l "如何開啟或關閉Windows ME的系統還原功能"(英文) l "如何開啟或關閉Windows XP的系統還原功能"(英文) 注意:如果你完成了移除威脅的程序,請重啟系統還原。 如果想要獲得額外的資訊,和另一種關閉Windows Me的系統還原,你可以查閱微軟知識庫的文章:Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Article ID: Q263455). 2. 更新病毒定義檔。 Symantec Security Response對於所有在網站上公佈的病毒定義檔都有做完整的測試。有兩種方式可以獲得病毒定義檔。 l 執行LiveUpdate,這是一個較容易的方法取得病毒定義檔。 l 如果你使用Norton AntiVirus 2006,Symantec AntiVirus Corporate Edition 10.0,或更新的產品,LiveUpdate將會是每日更新。這些產品擁有更新的技術。 l 如果你使用Norton AntiVirus 2005,Symantec AntiVirus Corporate Edition 9.0,或較早的產品,LiveUpdate將會是每週更新。major outbreaks是例外,他會更新的稍微頻繁一點。 l 藉由Intelligent Updater下載定義:Intelligent Updater病毒定義是每日更新。你應該從Symantec Security Response網站下載定義並手動更新它們。Intelligent Updater提供了這些威脅的定義,在Virus Definitions (Intelligent Updater)。 最新的Intelligent Updater virus definitions可以在這裡找到:Intelligent Updater virus definitions。想要知道詳細的資料可以閱讀下列文件:How to update virus definition files using the Intelligent Updater。 3. 執行完整的系統掃描。 a. 執行您的Symantec antivirus並確定其設定為掃描所有的檔案。 l Norton AntiVirus consumer products:請閱讀下列文件:How to configure Norton AntiVirus to scan all files l Symantec AntiVirus Enterprise products: 請閱讀下列文件:How to verify that a Symantec Corporate antivirus product is set to scan all files b. 執行全系統掃瞄。 c. 如果有發現任何檔案,用您的防毒軟體執行下列動作。 重要:如果您的軟體無法刪除檔案,你可以試著進入安全模式去停止風險檔案。讀下列文件了解詳細:How to start the computer in Safe Mode。一旦您進入安全模式,試著重新掃描一次。 刪除檔案後,在普通模式重啟電腦並執行下一段的動作。 如果威脅並未完全地移除,電腦重啟後可能會有警告訊息。你可以忽略訊息並按確定。這些訊息當你完全執行所有的移除病毒動作將不會再出現。訊息可能如下: Title: [FILE PATH] Message body: Windows cannot find [FILE NAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search. 4. 刪除新增到登入檔的鍵值。 重要:Symantec強烈建議您更改機xxx前先備份它。更改錯誤可能會造成資料遺失或檔案毀損。這裡只更改特定的機xxx。可以參考以下文件:How to make a backup of the Windows registry. a. 按下「開始」,然後按下「執行」。 b. 輸入 regedit 然後按下「確定」。 c. 按下「確定」。 注意:您可能要為了預防進入機xxx編輯器而更改機xxx如果您試圖用機xxx編輯器打開威脅失敗。Security Response建置了一個tool可以解決。下載並執行這個tool,並繼續移除程序。 d. 指到下列位置並刪除登入檔機xxx: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs \Parameters\"ServiceDll" = "[PATH OF WORM EXECUTABLE]" e. 關閉機xxx編輯器。 | |
相關參考資料 | |
| Symantec原廠技術文件: http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=1 | |