广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3247 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] Trojan.Peacomm 解决方案
Trojan.Peacomm 解决方案

别名
Small.DAM, Trojan-Downloader.Win32.Small.dam, Trojan.Downloader-647, Trojan.DL.Tibs.Gen!Pac13, Storm Worm, TROJ_SMALL.EDW, Downloader-BAI!M711

内容
Trojan.Peacomm 通常会由其他恶意软件产生出来的,或在使用者访问恶意网站时不知情的情况下被下载。
同时,此病毒正以电邮形式被传播,其标题为某些特定事件。该病毒电邮内容如下:

标题: (以下任何一款)
230 dead as storm batters Europe.
A killer at 11, he's free at 21 and kill again!
British Muslims Genocide
U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
British Muslims Genocide
Naked teens attack home director.
Re: Your text
Radical Muslim drinking enemies' blood.
Sadam Hussein alive!
Russian missle shot down USA satellite
Russian missle shot down USA aircraft

附件: (以下任何一款)
Full Clip.exe
Full Story.exe
Full Video.exe
Read More.exe
Video.exe

以下截图为该电邮的其中一个例子:

[图片来源: Trendmicro]


此间谍软件在执行时,会在视窗的系统资料夹内加入以下档案:
peers.ini - 非恶意档案
wincom32.sys - 同时被识别为 TROJ_SMALL.EDW

其后此病毒会登录成服务,确保每次系统启动时都会被自动执行。 它会在注册表加入下列机码:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

档案 WINCOM32.SYS 具有 rootkit 特性,容许其隐藏自身的档案及处理程序。 此程序可使病毒不易被侦测到。

病毒会连接到以下网址,下载并执行有潜在危险的档案:
http://205...9.{BLOCKED}.112/cp/rule.php
http://209...3.{BLOCKED}.198/cp/rule.php
http://217...7.{BLOCKED}.187/cp/rule.php
http://217...7.{BLOCKED}.187/game0.exe
http://217...7.{BLOCKED}.187/sp/post.php
http://69...0.{BLOCKED}.234/cp/rule.php
http://81...7.{BLOCKED}.169/dir/
http://81...7.{BLOCKED}.27/cp/rule.php

受影响系统
微软 Windows 98
微软 Windows ME
微软 Windows NT
微软 Windows 2000
微软 Windows XP
微软 Windows Server 2003

破坏力
通过电子邮件传播 Trojan.Peacomm 为一个木马程式,在系统添加驱动程序来下载其他威胁系统安全性的档案。

解决方案
侦测并清除蠕虫
防毒软件供应商提供了最新的病毒定义档去侦测并清除此病毒。
在注册表移除自动启动的机码,避免于系统起动时自动执行此软件。
如果找不到以下的注册表机码,该病毒可能并未被执行。此时可跳至接着的步骤。
开启登录编辑程式。按开启->执行键入 REGEDIT, 再按确定。
在左边的控制版, 双击以下字串:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
在左边的控制版,找出并删除机码。
wincom32
关闭登录编辑程式。
删除恶意档案
右击 "开始" ,点击 "寻找" 或 "搜寻" ,视乎作业系统的版本。
在档案名称键入以下档案:
peers.ini
在搜寻范围选择 "我的电脑" 然后按确定。
找到档案后,选取并按 SHIFT+DELETE。
注意:请根据你的防毒软件供应商指示移除病毒并修复你的系统。


[ 此文章被upside在2007-01-24 19:08重新编辑 ]



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2007-01-24 01:06 |
jackjbh99
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

之前中过一直找不到解决方法说..感谢提供..
留下来备用..


献花 x0 回到顶端 [1 楼] From:台湾数位联合 | Posted:2007-01-27 21:05 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.018274 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言