8月 24, 2009

超可怕的大陸網頁病毒

星期一, 8月 24, 2009

此病毒，蠻慘的，因為大部分的防毒軟體都偵測不到，而且，此病毒幹了很多壞事。
執行之後，有下面的行為：

[DLL injection]
C:\Documents and Settings\Administrator\Local Settings\Temp\upx.dll (注入檔案總管的執行程序)
C:\WINDOWS\system32\cmdbcs.dll (注入檔案總管的執行程序)
C:\WINDOWS\system32\msccrt.dll (注入檔案總管的執行程序)
C:\WINDOWS\system32\windds32.dll (注入檔案總管的執行程序)
C:\WINDOWS\system32\windhcp.ocx (注入檔案總管的執行程序)
C:\WINDOWS\system32\wsttrs.dll (注入檔案總管的執行程序)
C:\WINDOWS\system32\wsvs.dll (注入檔案總管的執行程序)

[Added service]
NAME: Win32DDS
DISPLAY: Win32 Display Driver
FILE: C:\WINDOWS\system32\\rundll32.exe windds32.dll,input

NAME: WinDHCPsvc
DISPLAY: Windows DHCP Service
FILE: C:\WINDOWS\system32\\rundll32.exe windhcp.ocx,input

[Added file]
C:\Documents and Settings\Administrator\Local Settings\Temp\svchost.vbs
C:\Documents and Settings\Administrator\Local Settings\Temp\upx.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\upx.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C13NVBMZ\zaqxsw[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\zaq10[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\zaq2[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\zaq5[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OXI7BCE5\zaq9[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\zaq4[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q08VKCK4\zaq7[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\zaq1[1].exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\SEUIMLSE\zaq3[1].exe
C:\Program Files\Common Files\System\IDrivers.pif
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\ctfnom.exe
C:\WINDOWS\system32\drivers\usbue.sys
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\system32\wsttrs.dll
C:\WINDOWS\system32\wsvs.dll
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\wsvs.exe

[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=wsvs,Data=C:\WINDOWS\wsvs.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=wsttrs,Data=C:\WINDOWS\wsttrs.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=upx,Data=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upx.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=msccrt,Data=C:\WINDOWS\msccrt.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,
Value=cmdbcs,Data=C:\WINDOWS\cmdbcs.exe

cmdbcs.exe
[ Trend ], "TSPY_ONLINEGA.SF"
ctfnom.exe:
[ Trend ], "TROJ_Generic"
IDrivers.pif:
[ Trend ], "TROJ_DLOADER.HRG"
msccrt.dll:
[ Trend ], "TSPY_ONLINEGA.ZT"
msccrt.exe:
[ Trend ], "TSPY_ONLINEGA.ZT"
upx.dll:
[ Trend ], "TSPY_ZHENGTU.CZ"
upx.exe:
[ Trend ], "TSPY_ZHENGTU.CZ"
windds32.dll:
[ Trend ], "TROJ_AGENT.KNG"
windhcp.ocx:
[ Trend ], "TROJ_AGENT.KNH"
wsttrs.dll:
[ Trend ], "TSPY_ZHENGTU.BO"
wsttrs.exe:
[ Trend ], "TSPY_ONLINEGA.SE"
wsvs.dll:
[ Trend ], "TSPY_LEGMIR.ALO"
wsvs.exe:
[ Trend ], "TSPY_ONLINEGA.GM"
zaq1[1].exe:
[ Trend ], "TSPY_ZHENGTU.CZ"
zaq2[1].exe:
[ Trend ], "TSPY_ONLINEGA.ZT"
zaq3[1].exe:
[ Trend ], "TROJ_AGENT.KEP"
zaq4[1].exe:
[ Trend ], "TSPY_ONLINEGA.GM"
zaq5[1].exe:
[ Trend ], "TSPY_ONLINEGA.SE"
zaq7[1].exe:
[ Trend ], "TROJ_Generic"
zaq9[1].exe:
[ Trend ], "TROJ_AGENT.KEQ"
zaq10[1].exe:
[ Trend ], "TSPY_ONLINEGA.SF"
zaqxsw[1].exe:
[ Trend ], "TROJ_DLOADER.HRG"
1[1].exe:
[ Trend ], "Possible_Infostl"
cmdbcs.dll:
[ Panda ], "Trj/Legmir.AMG"
[ Nod32 ], "a variant of Win32/PSW.Agent.NCC trojan"
[ HBEDV ], "HEUR/Malware"
[ Grisoft ], "Trojan horse PSW.Legendmir.DZP"
usbue.sys:
[ Symantec ], "Trojan Horse"
[ HBEDV ], "TR/Rootkit.Gen"

=================================================================================
預防重於治療：
1. TweakUI 上了沒，電腦記得要事先停掉「可缷除式媒體」的自動播放功能
2. kavo_killer.exe 及 HiJackThis.exe 隨時拿出來執行檢查電腦安全 , 電腦基礎

沒有留言:

張貼留言

訂閱：張貼留言 (Atom)

學堂師資介紹

★林葳秦老師-經歷：

經濟部工業局人培案-
AI課程系列-【企業級 Linux 數據資料分析師】指定講師
BI課程系列-【大數據分析與商業智慧】指定講師
聖極五術研究協會-【做自己生命的數據分析師】指定學術講師
清華大學-自強基金會 AI 資料科學家人材養成班-Hadoop講師
中國文化大學-資訊科技認證訓練中心-職訓講師。
銘傳大學產業暨推廣處資訊講師
東海大學推廣教育部 AI課程系列-Python 數據分析講師。

NTC.im-Python 數據資料分析師入門班講師
現任中華聖極五術研究協會-常務理事暨學術講師
靜宜大學-資料科學暨大數據分析應用學系講師
嘉南藥理大學-資訊管理系-開放源碼課程講師
曾任龍華科技大學-文化創意與數位媒體設計系講師。
土芭樂數位學堂-執行長暨講師。

曾任英商傳述公司市場行銷部網站管理主任。
曾任英商傳述公司資訊部 Web Application 程式設計師。
iPresentation 影音站台中心網站管理者。

曾任警政署 SQL Server 指定講師。
曾任中美通電腦顧問公司-系統整合部專案經理。
曾任微軟知識管理課程授課顧問。

曾任北區職訓局人才培訓案講師。

曾任花旗銀行辦公室文書課程指定講師。
曾任巨匠電腦中區專任講師。
曾任巨匠電腦彰化分校兒童電腦暑期夏令營老師。
曾任博士兒兒童電腦資優班老師。
曾任台中市文心國小中高年級電腦課程老師。
曾任台中市潭子國小社團活動電腦課程老師。
土芭樂數位新思路(toBala.Net)站長；
成立土芭樂數位學堂及TW練功坊。

★林宗賢老師-經歷：
靜宜大學-SQLite/SQL Server 應用課程助理教授

中華郵政總局網路作業系統講師

曾任中研院專案工程師

★楊世宏老師-經歷：

光研智能-物聯網大數據分析與應用

AI人工智慧與邊緣運算工程師

文化大學推廣部-金象盃數據分析入門訓練講師

8月 24, 2009

超可怕的大陸網頁病毒

沒有留言:

張貼留言

學堂師資介紹

快加入「土芭樂」好友行列

土芭樂網誌清單

文章標籤

發表過的舊文章

推薦閱讀

授權模式

歡迎加入土芭樂的好友行列

推播廣告

Recent Posts

推播廣告

8月 24, 2009

超可怕的大陸網頁病毒

沒有留言:

張貼留言

學堂師資介紹

快加入「土芭樂」好友行列

土芭樂網誌清單

文章標籤

發表過的舊文章

推薦閱讀

授權模式

歡迎訂閱

歡迎加入土芭樂的好友行列

推播廣告

Recent Posts

推播廣告