廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3255 個閱讀者
04:00 ~ 4:30 資料庫備份中,需等較久的時間,請耐心等候
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] Trojan.Peacomm 解決方案
Trojan.Peacomm 解決方案

別名
Small.DAM, Trojan-Downloader.Win32.Small.dam, Trojan.Downloader-647, Trojan.DL.Tibs.Gen!Pac13, Storm Worm, TROJ_SMALL.EDW, Downloader-BAI!M711

內容
Trojan.Peacomm 通常會由其他惡意軟件產生出來的,或在使用者訪問惡意網站時不知情的情況下被下載。
同時,此病毒正以電郵形式被傳播,其標題為某些特定事件。該病毒電郵內容如下:

標題: (以下任何一款)
230 dead as storm batters Europe.
A killer at 11, he's free at 21 and kill again!
British Muslims Genocide
U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
British Muslims Genocide
Naked teens attack home director.
Re: Your text
Radical Muslim drinking enemies' blood.
Sadam Hussein alive!
Russian missle shot down USA satellite
Russian missle shot down USA aircraft

附件: (以下任何一款)
Full Clip.exe
Full Story.exe
Full Video.exe
Read More.exe
Video.exe

以下截圖為該電郵的其中一個例子:

[圖片來源: Trendmicro]


此間諜軟件在執行時,會在視窗的系統資料夾內加入以下檔案:
peers.ini - 非惡意檔案
wincom32.sys - 同時被識別為 TROJ_SMALL.EDW

其後此病毒會登錄成服務,確保每次系統啟動時都會被自動執行。 它會在註冊表加入下列機碼:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

檔案 WINCOM32.SYS 具有 rootkit 特性,容許其隱藏自身的檔案及處理程序。 此程序可使病毒不易被偵測到。

病毒會連接到以下網址,下載並執行有潛在危險的檔案:
http://205...9.{BLOCKED}.112/cp/rule.php
http://209...3.{BLOCKED}.198/cp/rule.php
http://217...7.{BLOCKED}.187/cp/rule.php
http://217...7.{BLOCKED}.187/game0.exe
http://217...7.{BLOCKED}.187/sp/post.php
http://69...0.{BLOCKED}.234/cp/rule.php
http://81...7.{BLOCKED}.169/dir/
http://81...7.{BLOCKED}.27/cp/rule.php

受影響系統
微軟 Windows 98
微軟 Windows ME
微軟 Windows NT
微軟 Windows 2000
微軟 Windows XP
微軟 Windows Server 2003

破壞力
通過電子郵件傳播 Trojan.Peacomm 為一個木馬程式,在系統添加驅動程序來下載其他威脅系統安全性的檔案。

解決方案
偵測並清除蠕蟲
防毒軟件供應商提供了最新的病毒定義檔去偵測並清除此病毒。
在註冊表移除自動啟動的機碼,避免於系統起動時自動執行此軟件。
如果找不到以下的註冊表機碼,該病毒可能並未被執行。此時可跳至接著的步驟。
開啟登錄編輯程式。按開啟->執行鍵入 REGEDIT, 再按確定。
在左邊的控制版, 雙擊以下字串:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
在左邊的控制版,找出並刪除機碼。
wincom32
關閉登錄編輯程式。
刪除惡意檔案
右擊 "開始" ,點擊 "尋找" 或 "搜尋" ,視乎作業系統的版本。
在檔案名稱鍵入以下檔案:
peers.ini
在搜尋範圍選擇 "我的電腦" 然後按確定。
找到檔案後,選取並按 SHIFT+DELETE。
注意:請根據你的防毒軟件供應商指示移除病毒並修復你的系統。


[ 此文章被upside在2007-01-24 19:08重新編輯 ]



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-01-24 01:06 |
jackjbh99
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

之前中過一直找不到解決方法說..感謝提供..
留下來備用..


獻花 x0 回到頂端 [1 樓] From:臺灣數位聯合 | Posted:2007-01-27 21:05 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.034881 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言