【資安通報】Backdoor.Sogu木馬
  • 病毒概述:Backdoor.Sogu屬特洛伊木馬,於受感染電腦中開啟後門,通常藏於e-mail附件中
  • 病毒型態:木馬
  • 風險等級:等級1
  • 影響平台:Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
  • 說明:
    1. 該木馬一旦被執行,將建立下列檔案:
      %UserProfile%Application Datawinsvcfs.DLL
    2. 且將建立下列登錄檔子機碼:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswinsvcfs HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswinsvcfsParameters HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswinsvcfsSecurity
    3. 同時建立名為winsvcfs的服務
    4. 接著嘗試連接下列主機:
      • [http://]nateon.duamlive.com
      • [http://]bbs.afbjz.com
      • [http://]newhose.ntimobile.com
      • [http://]www.adv138mail.com
    5. 並嘗試於以下位置發布資訊:
      http://[HOSTNAME]/update
    6. 該木馬為了獲得遠端連接資訊,於受感染電腦隨機通訊埠中開啟raw socket
  • 解決方案:
    1. 關閉系統還原功能( Windows Me/XP )
      (1) 若執行的作業系統為Windows Me/XP,建議暫時關閉系統還原功能,此功能在Windows Me/XP預設為啟用狀態,假如電腦的資料有毀損,則可使用此功能來復原檔案。假如電腦感染了病毒、蠕蟲或是木馬,則系統還原功能也會備份下系統所感染的病毒、蠕蟲或是木馬。
      (2) Windows防止任何外部程式來修改系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾中的威脅。即使已經在其他的資料夾清除了受感染的檔案,還是有可能經由系統還原回復受感染的檔案。所以病毒掃描時,即使威脅已經移除了,還是有可能在系統還原資料夾中偵測到威脅。
      (3) 關閉系統還原功能的方法可參閱Windows的文件或是參考下列其中一篇文章:
      如何關閉及開啟Windows XP還原功能
      如何關閉及開啟Windows Me還原功能
      當您完成全部病毒移除程序並確定威脅已解除,請參照上述文件說明重新啟用系統還原功能。
      Window Me關閉系統還原功能另可參考下列微軟網頁資料:
      防毒工具無法清除 _Restore 資料夾中受感染的檔案, Article ID: Q263455
    2. 更新病毒定義檔
      請連結至所使用防毒軟體之公司網站下載最新的病毒定義檔,進行相關更新作業。
      賽門鐵克
      趨勢科技
      卡巴斯基
      McAfee
      ESET NOD32
    3. 執行全面系統掃描
      (1) 啟動防毒軟體,並確認設定為執行掃描所有檔案。
      (2) 開始執行全系統掃描。
      (3) 如果偵測到受感染檔案,則採取防毒軟體所顯示建議的步驟執行。
  • 參考資料:
    http://www.symantec.com/security_response/writeup.jsp?docid=2011-073003-5345-99
  • 資料來源:Symantec
(資料來源:icst技服中心)
arrow
arrow
    全站熱搜

    nan 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄