Trojan.Peacomm 解決方案
別名 Small.DAM, Trojan-Downloader.Win32.Small.dam, Trojan.Downloader-647, Trojan.DL.Tibs.Gen!Pac13, Storm Worm, TROJ_SMALL.EDW, Downloader-BAI!M711
內容 Trojan.Peacomm 通常會由其他惡意軟件產生出來的,或在使用者訪問惡意網站時不知情的情況下被下載。
同時,此病毒正以電郵形式被傳播,其標題為某些特定事件。該病毒電郵內容如下:
標題: (以下任何一款)
230 dead as storm batters Europe.
A killer at 11, he's free at 21 and kill again!
British Muslims Genocide
U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
British Muslims Genocide
Naked teens attack home director.
Re: Your text
Radical Muslim drinking enemies' blood.
Sadam Hussein alive!
Russian missle shot down USA satellite
Russian missle shot down USA aircraft
附件: (以下任何一款)
Full Clip.exe
Full Story.exe
Full Video.exe
Read More.exe
Video.exe
以下截圖為該電郵的其中一個例子:
[圖片來源: Trendmicro] 此間諜軟件在執行時,會在視窗的系統資料夾內加入以下檔案:
peers.ini - 非惡意檔案
wincom32.sys - 同時被識別為 TROJ_SMALL.EDW
其後此病毒會登錄成服務,確保每次系統啟動時都會被自動執行。 它會在註冊表加入下列機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32 檔案 WINCOM32.SYS 具有 rootkit 特性,容許其隱藏自身的檔案及處理程序。 此程序可使病毒不易被偵測到。
病毒會連接到以下網址,下載並執行有潛在危險的檔案:
http://205...9.{BLOCKED}.112/cp/rule.php
http://209...3.{BLOCKED}.198/cp/rule.php
http://217...7.{BLOCKED}.187/cp/rule.php
http://217...7.{BLOCKED}.187/game0.exe
http://217...7.{BLOCKED}.187/sp/post.php
http://69...0.{BLOCKED}.234/cp/rule.php
http://81...7.{BLOCKED}.169/dir/
http://81...7.{BLOCKED}.27/cp/rule.php
受影響系統 微軟 Windows 98
微軟 Windows ME
微軟 Windows NT
微軟 Windows 2000
微軟 Windows XP
微軟 Windows Server 2003
破壞力 通過電子郵件傳播 Trojan.Peacomm 為一個木馬程式,在系統添加驅動程序來下載其他威脅系統安全性的檔案。
解決方案 偵測並清除蠕蟲防毒軟件供應商提供了最新的病毒定義檔去偵測並清除此病毒。
在註冊表移除自動啟動的機碼,避免於系統起動時自動執行此軟件。
如果找不到以下的註冊表機碼,該病毒可能並未被執行。此時可跳至接著的步驟。
開啟登錄編輯程式。按開啟->執行鍵入 REGEDIT, 再按確定。
在左邊的控制版, 雙擊以下字串:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services 在左邊的控制版,找出並刪除機碼。
wincom32 關閉登錄編輯程式。
刪除惡意檔案
右擊 "開始" ,點擊 "尋找" 或 "搜尋" ,視乎作業系統的版本。
在檔案名稱鍵入以下檔案:
peers.ini 在搜尋範圍選擇 "我的電腦" 然後按確定。
找到檔案後,選取並按 SHIFT+DELETE。
注意:請根據你的防毒軟件供應商指示移除病毒並修復你的系統。
