利用即時通訊軟體感染的W32.Loxbot.F病毒病毒型態: 後門的蠕蟲(Worm)影響平台: Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、 Windows XP概述: W32.Loxbot.F是一個利用AOL、 MSN 與 Yahoo 這些即時通訊軟體(Instant Messenger,IM)進行散佈的一帶有後門的蠕蟲,該蠕蟲允許遠端的攻擊者在被感染的電腦中執行多種破壞指令,同時會降低被感染電腦的安全設定及關閉某些安全程式。說明: W32.Loxbot.F是一個利用AOL、 MSN 與 Yahoo 這些即時通訊軟體(Instant Messenger,IM)進行散佈的一帶有後門的蠕蟲,該蠕蟲允許遠端的攻擊者在被感染的電腦中執行多種破壞指令,同時會降低被感染電腦的安全設定及關閉某些安全程式。當W32.Loxbot.F被執行時,會進行下列動作:
1. 複製自己到 %System%\lockbr.exe.
%System%是一個泛指系統資料夾的變數,在系統中預設為 C:\Windows\System (Windows 95/98/Me)
C:\Winnt\System32 (Windows NT/2000)
C:\Windows\System32 (Windows XP)。
2. 在下列登錄檔位置加入新值為"freexstyle" = "lockbr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
以便每次開機時能夠執行此一蠕蟲程式。
3. 修改下列登錄機碼的值以關閉windows Firewall:
將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters \FirewallPolicy\StandardProfile中的"EnableFirewall"值設為 "0"
4. 修改下列登錄機碼的值以關閉或略過windows Firewall偵測:
將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ SharedAccess \Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications \List\C:\WINDOWS
與
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\StandardProfile\Authorized Applications\List\C:\WINDOWS中的"system32"項目值設為
"C:\WINDOWS\system32:*:Enabled:lockx"。
5. 建立C:\xz.bat檔案並執行之,以關閉下列服務:
A. Security Center
B. Windows Update
C. Windows Firewall/Internet Connection Sharing (ICS)
6. 開啟後門並利用隨機的TCP port連接至IRC Server (q8l0rd.linux-dude.net),並允許駭客在受感染的系統中進行下列動作:
A. 建立或中斷與IRC Server連線
B. 下載與執行檔案
C. 產生隨機的新暱名(用在IM中進行擴散感染)
D. 更新蠕蟲本身的版本
7. 利用受感染的電腦中的IM軟體,送出包含蠕蟲本身的連結給所有在IM的聯絡人。
解決方案: 1. 清除系統復原器 (Windows Me/XP)。
系統復原能夠使系統回復到預設狀態,假如電腦的資料毀損可以用來復原資料。若是電腦受到了病毒、蠕蟲或是木馬感染,系統復原也會記錄他們。Windows 預防任何外部程式來修改系統復原,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統復原資料夾中的威脅。這麼一來即使你已經在其他的資料夾清除了感染的檔案還是有可能經由系統復原來回復受感染的檔案。清除系統復原的方法可以閱讀Windows 的文件或是參考以下網頁:
清除Windows Me系統復原:
http://service1.symantec.com/SU...fo.nsf/docid/ 2001012513122239?OpenDocument&src=sec_doc_nam
清除Windows XP系統復原:
http://service1.symantec.com/SU...fo.nsf/docid/ 2001111912274039?OpenDocument&src=sec_doc_nam
2. 接下來依據是否你電腦有無防毒軟體分為:
a. 若是你已經安裝了防毒軟體,請更新你的防毒軟體的病毒定義檔,以安全模式或是命令提示列的安全模式重新啟動電腦,使用你的防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
b. 或是可以使用免費的線上掃毒
”?PHPSESSID=75e7f724e...5f90d6c4541c. 若是沒有防毒軟體的話,請刪除上列病毒說明中被感染檔案。但是有可能會造成系統的不穩定,如有必要可能需要修復你的作業系統。
3. 移除蠕蟲在下列登錄機碼中所新增的值"freexstyle" = "lockbr.exe":
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
4. 將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess \Parameters\FirewallPolicy\StandardProfile中的"EnableFirewall"值設為 "1"
5. 將下列登錄機碼的"system32"項目值修正為"C:\WINDOWS\system32":
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters \FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters \FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS
6. 重新透過服務管理啟動下列安全服務:
A. Security Center
B. Windows Update
C. Windows Firewall/Internet Connection Sharing (ICS)
7. 刪除蠕蟲所建立的C:\xz.bat檔案。
參考資料:
http://www.symantec.com/avcenter....loxbot.f.html資料來源:
賽門鐵克公司
