利用即时通讯软体感染的W32.Loxbot.F病毒病毒型态: 后门的蠕虫(Worm)影响平台: Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、 Windows XP概述: W32.Loxbot.F是一个利用AOL、 MSN 与 Yahoo 这些即时通讯软体(Instant Messenger,IM)进行散布的一带有后门的蠕虫,该蠕虫允许远端的攻击者在被感染的电脑中执行多种破坏指令,同时会降低被感染电脑的安全设定及关闭某些安全程式。说明: W32.Loxbot.F是一个利用AOL、 MSN 与 Yahoo 这些即时通讯软体(Instant Messenger,IM)进行散布的一带有后门的蠕虫,该蠕虫允许远端的攻击者在被感染的电脑中执行多种破坏指令,同时会降低被感染电脑的安全设定及关闭某些安全程式。当W32.Loxbot.F被执行时,会进行下列动作:
1. 复制自己到 %System%\lockbr.exe.
%System%是一个泛指系统资料夹的变数,在系统中预设为 C:\Windows\System (Windows 95/98/Me)
C:\Winnt\System32 (Windows NT/2000)
C:\Windows\System32 (Windows XP)。
2. 在下列登录档位置加入新值为"freexstyle" = "lockbr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
以便每次开机时能够执行此一蠕虫程式。
3. 修改下列登录机码的值以关闭windows Firewall:
将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters \FirewallPolicy\StandardProfile中的"EnableFirewall"值设为 "0"
4. 修改下列登录机码的值以关闭或略过windows Firewall侦测:
将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ SharedAccess \Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications \List\C:\WINDOWS
与
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\StandardProfile\Authorized Applications\List\C:\WINDOWS中的"system32"项目值设为
"C:\WINDOWS\system32:*:Enabled:lockx"。
5. 建立C:\xz.bat档案并执行之,以关闭下列服务:
A. Security Center
B. Windows Update
C. Windows Firewall/Internet Connection Sharing (ICS)
6. 开启后门并利用随机的TCP port连接至IRC Server (q8l0rd.linux-dude.net),并允许骇客在受感染的系统中进行下列动作:
A. 建立或中断与IRC Server连线
B. 下载与执行档案
C. 产生随机的新昵名(用在IM中进行扩散感染)
D. 更新蠕虫本身的版本
7. 利用受感染的电脑中的IM软体,送出包含蠕虫本身的连结给所有在IM的联络人。
解决方案: 1. 清除系统复原器 (Windows Me/XP)。
系统复原能够使系统回复到预设状态,假如电脑的资料毁损可以用来复原资料。若是电脑受到了病毒、蠕虫或是木马感染,系统复原也会记录他们。Windows 预防任何外部程式来修改系统复原,当然也包括了防毒软体。因此防毒软体或是工具无法移除系统复原资料夹中的威胁。这么一来即使你已经在其他的资料夹清除了感染的档案还是有可能经由系统复原来回复受感染的档案。清除系统复原的方法可以阅读Windows 的文件或是参考以下网页:
清除Windows Me系统复原:
http://service1.symantec.com/SU...fo.nsf/docid/ 2001012513122239?OpenDocument&src=sec_doc_nam
清除Windows XP系统复原:
http://service1.symantec.com/SU...fo.nsf/docid/ 2001111912274039?OpenDocument&src=sec_doc_nam
2. 接下来依据是否你电脑有无防毒软体分为:
a. 若是你已经安装了防毒软体,请更新你的防毒软体的病毒定义档,以安全模式或是命令提示列的安全模式重新启动电脑,使用你的防毒软体执行全系统的扫瞄以及删除所侦测到的档案。
b. 或是可以使用免费的线上扫毒
”?PHPSESSID=75e7f724e...5f90d6c4541c. 若是没有防毒软体的话,请删除上列病毒说明中被感染档案。但是有可能会造成系统的不稳定,如有必要可能需要修复你的作业系统。
3. 移除蠕虫在下列登录机码中所新增的值"freexstyle" = "lockbr.exe":
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
4. 将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess \Parameters\FirewallPolicy\StandardProfile中的"EnableFirewall"值设为 "1"
5. 将下列登录机码的"system32"项目值修正为"C:\WINDOWS\system32":
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters \FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters \FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS
6. 重新透过服务管理启动下列安全服务:
A. Security Center
B. Windows Update
C. Windows Firewall/Internet Connection Sharing (ICS)
7. 删除蠕虫所建立的C:\xz.bat档案。
参考资料:
http://www.symantec.com/avcenter....loxbot.f.html资料来源:
赛门铁克公司
