wutenan 's blog

病毒概述：Backdoor.Blazgel為一特洛伊木馬，於受感染電腦中開啟後門

病毒型態：木馬

風險等級：等級1

影響平台：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista , Windows XP

1.          該木馬一旦被執行，會建立下列檔案其中之一：

%System%\Matrix.dll

%System%\Matrix.exe

%System%\IntelMatrix.exe

%System%\IntelMx.exe

%System%\IntelMSM.exe

%System%\winlogo.dll

%System%\chats.exe

%System%\scvosts.exe

2.          並且會清除下列檔案其中之一：

%System%\DRIVERS\IntelMatrix.sys

%System%\DRIVERS\IntelMx.sys

%System%\DRIVERS\IntelMSM.sys

%System%\DRIVERS\scvosts.sys

3.          接著，它會建立下列subkey：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[DRIVER NAME]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[SERVICE NAME]

註：SERVICE NAME可能為下列其中之一

usbmouseb

IntelMatrixStoragemanagers

windows scvhosts microsoft

4.          並刪除原始執行檔案

5.          接著開啟後門，並嘗試連接下列主機：

解決方案：

1. 關閉系統還原功能( Windows Me/XP )

(1) 如果執行的作業系統是Windows Me/XP，建議暫時關閉系統還原功能，此功能在Windows Me/XP預設是啟用狀態，假如電腦的資料有毀損，則可使用此功能來復原檔案。假如電腦感染了病毒、蠕蟲或是木馬，則系統還原功能也會備份下系統所感染的病毒、蠕蟲或是木馬。
(2) Windows防止任何外部程式來修改系統還原功能，當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾中的威脅。即使已經在其他的資料夾清除了受感染的檔案，還是有可能經由系統還原回復受感染的檔案。所以病毒掃描時，即使威脅已經移除了，還是有可能在系統還原資料夾中偵測到威脅。
(3) 關閉系統還原功能的方法可參閱Windows的文件或是參考下列其中一篇文章：
如何關閉及開啟Windows XP還原功能
如何關閉及開啟Windows Me還原功能
當您完成全部病毒移除程序並確定威脅已解除，請參照上述文件說明重新啟用系統還原功能。
Window Me關閉系統還原功能另可參考下列微軟網頁資料：
防毒工具無法清除 _Restore 資料夾中受感染的檔案, Article ID: Q263455

2. 更新病毒定義檔

請連結至所使用防毒軟體之公司網站下載最新的病毒定義檔，進行相關更新作業。
賽門鐵克
趨勢科技
卡巴斯基
McAfee
ESET NOD32

3. 執行全面系統掃描

(1) 啟動防毒軟體，並確認設定為執行掃描所有檔案。
(2) 開始執行全系統掃描。
(3) 如果偵測到受感染檔案，則採取防毒軟體所顯示建議的步驟執行。
(註1) 如果防毒軟體無法啟動或無法刪除所偵測到之病毒檔案，請停止執行這些有風險之檔案以便進行移除。偵測移除作業請在安全模式進行，如何啟動至安全模式請參考註2連結說明。重新啟動系統至安全模式後，重新執行一次掃毒程序。
(註2) 如何開啟安全模式請參考網址。
http://service1.symantec.com/SUPPORT/INTER/traditionalchinesekb.nsf/0/e990b18af378332588256c560078954a?OpenDocument&seg=hm&lg=zh&ct=tw
(註3) 如有掃描出任何病毒，請依指示刪除病毒，移除受感染的檔案後再重新開啟系統至正常模式。

參考資料：

http://www.symantec.com/business/security_response/writeup.jsp?docid=2011-111815-0733-99