昨天有一位以前的同事從 MSN 傳了一個「photos.zip」檔案過來,傳檔之前還用英文傳了一段話,但那段話我沒注意是什麼,只覺得奇怪,一個英文不是很好的同事怎麼會用英文跟我對話。
但因為還蠻相信那位同事的,所以就接收了那個檔案,但還是心存懷疑,將檔案解開來是一個「photos album-2007-5-26.scr」的檔案,看起來似乎是螢幕保護的檔案,還是先用 Norton AntiVirus 諾頓防毒 2006 掃毒看看,發現沒有病毒,於是執行看看,執行後還沒什麼反應,大約一、二分鐘後,滑鼠不動了,而 MSN 的對話視窗跳了出來,又馬上消失,而且一直重覆這個動作,而上面的暱稱一直在換,發現是我 MSN 上聯絡人的暱稱,於是確定我的電腦中毒了。
第一時間馬上拔掉網路線,並用另一台電腦到 Google 查看有沒有解決方法,發現這隻病毒的前身似乎是利用 Mail 傳播,所以這隻利用 MSN 傳播的病毒應該是變種,由於資料很少,只好自力救濟,還好用「搜尋」並設定關鍵條件「建立時間」為當天,才讓我找到中毒的檔案及位置,將它清除後就不再發生了,此病毒的清除步驟如下:
1. 拔掉網路線,不要讓它第一時間再散播出去。
2. 執行「regedit」
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService\ObjectDelayLoad]
"syshosts"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" <- 將此機碼刪除,並記下 XX 編號
2. 執行「regedit」
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService\ObjectDelayLoad]
"syshosts"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" <- 將此機碼刪除,並記下 XX 編號
[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32] <- 除刪此機碼,此 XX 與上一個機碼編號相同
@="syshosts.dll"
3. 重新開機
4. 刪除病毒檔案
C:\Windows\photos.zip
C:\Windows\System32\syshosts.dll
@="syshosts.dll"
3. 重新開機
4. 刪除病毒檔案
C:\Windows\photos.zip
C:\Windows\System32\syshosts.dll
Norton AntiVirus諾頓防毒 2006、Trend Micro OfficeScan 7.3 及 AVG Anti-Spyware 7.5 皆無法偵測出此病毒,目前只有 Kaspersky 及使用 Kaspersky 引擎的 Active Virus Shield 可偵測出此病毒,而偵測出的病毒名稱為「Backdoor.Win32.IRCBot.aaq」,之後還發現幾篇與此病毒相關的文章。
http://hi.baidu.com/teyqiu/blog/item/3c18be090bd3d4256b60fbdd.html
http://hi.baidu.com/tane/blog/item/4b8fb83e8f4d17fb828b13b4.html
感染途徑皆相同,只有檔案名稱不一樣。
http://hi.baidu.com/teyqiu/blog/item/3c18be090bd3d4256b60fbdd.html
http://hi.baidu.com/tane/blog/item/4b8fb83e8f4d17fb828b13b4.html
感染途徑皆相同,只有檔案名稱不一樣。
沒有留言:
張貼留言