Trojan.Peacomm 解决方案
别名 Small.DAM, Trojan-Downloader.Win32.Small.dam, Trojan.Downloader-647, Trojan.DL.Tibs.Gen!Pac13, Storm Worm, TROJ_SMALL.EDW, Downloader-BAI!M711
内容 Trojan.Peacomm 通常会由其他恶意软件产生出来的,或在使用者访问恶意网站时不知情的情况下被下载。
同时,此病毒正以电邮形式被传播,其标题为某些特定事件。该病毒电邮内容如下:
标题: (以下任何一款)
230 dead as storm batters Europe.
A killer at 11, he's free at 21 and kill again!
British Muslims Genocide
U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
British Muslims Genocide
Naked teens attack home director.
Re: Your text
Radical Muslim drinking enemies' blood.
Sadam Hussein alive!
Russian missle shot down USA satellite
Russian missle shot down USA aircraft
附件: (以下任何一款)
Full Clip.exe
Full Story.exe
Full Video.exe
Read More.exe
Video.exe
以下截图为该电邮的其中一个例子:
[图片来源: Trendmicro] 此间谍软件在执行时,会在视窗的系统资料夹内加入以下档案:
peers.ini - 非恶意档案
wincom32.sys - 同时被识别为 TROJ_SMALL.EDW
其后此病毒会登录成服务,确保每次系统启动时都会被自动执行。 它会在注册表加入下列机码:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32 档案 WINCOM32.SYS 具有 rootkit 特性,容许其隐藏自身的档案及处理程序。 此程序可使病毒不易被侦测到。
病毒会连接到以下网址,下载并执行有潜在危险的档案:
http://205...9.{BLOCKED}.112/cp/rule.php
http://209...3.{BLOCKED}.198/cp/rule.php
http://217...7.{BLOCKED}.187/cp/rule.php
http://217...7.{BLOCKED}.187/game0.exe
http://217...7.{BLOCKED}.187/sp/post.php
http://69...0.{BLOCKED}.234/cp/rule.php
http://81...7.{BLOCKED}.169/dir/
http://81...7.{BLOCKED}.27/cp/rule.php
受影响系统 微软 Windows 98
微软 Windows ME
微软 Windows NT
微软 Windows 2000
微软 Windows XP
微软 Windows Server 2003
破坏力 通过电子邮件传播 Trojan.Peacomm 为一个木马程式,在系统添加驱动程序来下载其他威胁系统安全性的档案。
解决方案 侦测并清除蠕虫防毒软件供应商提供了最新的病毒定义档去侦测并清除此病毒。
在注册表移除自动启动的机码,避免于系统起动时自动执行此软件。
如果找不到以下的注册表机码,该病毒可能并未被执行。此时可跳至接着的步骤。
开启登录编辑程式。按开启->执行键入 REGEDIT, 再按确定。
在左边的控制版, 双击以下字串:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services 在左边的控制版,找出并删除机码。
wincom32 关闭登录编辑程式。
删除恶意档案
右击 "开始" ,点击 "寻找" 或 "搜寻" ,视乎作业系统的版本。
在档案名称键入以下档案:
peers.ini 在搜寻范围选择 "我的电脑" 然后按确定。
找到档案后,选取并按 SHIFT+DELETE。
注意:请根据你的防毒软件供应商指示移除病毒并修复你的系统。
