國立雲林科技大學-資訊中心 網站地圖 舊版網站 雲科大首頁 本站首頁 English 站內搜尋
03.jpg
  您現在的位置:首頁 >> 最新訊息 >> 內文
快速連結




最新訊息
  病毒警訊
 
發文單位:網路組      張貼日期:2009-10-05  
2009-10-02 Backdoor.Regdor木馬

病毒概述:Backdoor.Regdor是一特洛依木馬,它會在受損電腦上開啟一後門程式。

病毒型態:木馬

風險等級:等級1

影響平台:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

說明:
1. 當木馬執行時,它覆蓋下列合法的Windows檔案,以留下後門元件:
%System%\mspmsnsv.dll
2. 接下來,該木馬可能會建立下列登錄檔項目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"addr" = "[IP ADDRESSES OF COMPROMISED COMPUTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"config" = "[HEXADECIMAL CHARACTERS CONTAINING CONFIGURATION INFORMATION]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"dele" = "[HEXADECIMAL CHARACTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"hide" = "[HEXADECIMAL CHARACTERS POINTING TO EXECUTABLE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"ssdt" = "[HEXADECIMAL CHARACTERS POINTING TO EXECUTABLE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"start" = "[HEXADECIMAL CHARACTERS POINTING TO EXECUTABLE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"door" = "[HEXADECIMAL CHARACTERS CONTAINING CONFIDENTIAL COMPUTER INFORMATION]"
3. 當取代%System%\mspmsnsv.dll檔案時,此木馬取得受害電腦的控制權,該檔是由svchost.exe服務載入的。
4. 接下來,該木馬會發動更多的惡意軟體威脅,藉由閱讀下列可執行檔,從登錄檔進入已分配之記憶體到通過執行控制:
hide
start
ssdt
5. 該木馬會試圖連結至預設的遠端位置TCP 443埠。

解決方案:
1. 暫時關閉系統還原功能
關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁:
關閉Windows XP原功能
關閉Windows Me還原功能

2. 更新病毒定義檔
請執行防毒程式的更新程式或至所使用防毒軟體之公司網站下載最新的病毒定義檔。
3. 執行全系統掃描
執行防毒軟體,並設定為執行全系統掃描。
4. 刪除登錄檔內的值
刪除下面登錄項目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"addr" = "[IP ADDRESSES OF COMPROMISED COMPUTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"config" = "[HEXADECIMAL CHARACTERS CONTAINING CONFIGURATION INFORMATION]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"dele" = "[HEXADECIMAL CHARACTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"hide" = "[HEXADECIMAL CHARACTERS POINTING TO EXECUTABLE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"ssdt" = "[HEXADECIMAL CHARACTERS POINTING TO EXECUTABLE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"start" = "[HEXADECIMAL CHARACTERS POINTING TO EXECUTABLE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\sysmgr\"door" = "[HEXADECIMAL CHARACTERS CONTAINING CONFIDENTIAL COMPUTER INFORMATION]"

更詳細的內容請參考:
國家資通安全會報技術服務中心

http://www.icst.org.tw/index.aspx

    最後更新 ( 2009/10/05, 週一 )
 
    前一則:
    下一則:
© 2011 》 National Yunlin University of Science and Technology  Designed by:Information Technology Services Center  意見信箱  雲科總機:05-5342601   資訊中心資安政策  Facebook