close
這是從老師的討論區來的,是一個學長?姐?發表的!雖然已經過了很久,不過,我還是把它貼了上來…

WMON32.EXE病毒(Gaobot.4 新變種)
雖然是去年新變種病毒,但最近家裡深受其害!

據說Gaobot.4 駭蟲經由開放網路分享和透過Mydoom駭蟲打開後門。它准許攻擊者去讀取一部已受到感染的電腦,並且藉由IRC頻道竊取用戶系統資料。

Gaobot.4 行為描述:
註:在Win95/98/me %System% 預設值為 C:\windows\System

在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32

病毒會對在port6667上的遠端IRC伺服器來連結並且聽取病毒作者所下達的指令

1.下載並執行檔案

2.掃描網路

3.目錄,停止,開始程序

4.控制檔案系統(刪除,產生,列出檔案)

5.發射服務(作業系統)的否認攻擊

6.執行port的更改

7.偷取系統資料並且發電子信件給攻擊者


病毒會掃描在網路上的其他電腦,並且嘗試連結資源分享的使用者使用名稱及密碼。如果成功,病毒將會嘗試複製本身到遠端電腦。


爲可掃瞄變種的Mydoom駭蟲,如果發現該駭蟲,它會透過所開的後門將Mydoom駭蟲本體複製至電腦上。


病毒會偷取下列各項電腦遊戲光碟的密碼

Command & Conquer Generals

FIFA 2003

Need For Speed Hot Pursuit 2

Soldier of Fortune II - Double Helix

Neverwinter

Rainbow Six III RavenShield

Battlefield 1942 Road To Rome

Project IGI 2

Counter-Strike

Unreal Tournament 2003

Half-Life


透過區域網路中的共享目錄進行散播。

病毒執行後,將駭蟲本身複製到%System%

wmon32.exe

修改登錄檔,如此開機即會啟動駭蟲。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

名稱=WSAConfiguration 值=wmon32.exe


修改登錄檔,如此開機即會啟動駭蟲。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

名稱=WSAConfiguration 值=wmon32.exe


修改登錄檔,如此開機即會啟動駭蟲。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

名稱=WSAConfiguration 值=wmon32.exe


結論:此病毒是針對微軟的漏洞進行攻擊!

   如何預防及治療~以win2000為例
   首先:觀看在工作管理員的處理程序,有無WMON32.EXE在執行
   若無,趕快上微軟Update網站,更新hotfix作安全性更新

   若有,首先先將網路線拔除,並重新啟動電腦
      啟動後,移除在工作管理員的處理程序之WMON32.EXE
      移除在C:\WINNT\SYSTEM32\WMON32.EXE
      執行regedit
移除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
及RUN相關部份登錄檔!
OK後,裝上網路線,趕快上微軟Update網站,更新hotfix作安全性更新!
若再中毒,再研究或將問題反應至微軟!

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 zerosmall 的頭像
    zerosmall

    習慣成失落...

    zerosmall 發表在 痞客邦 留言(0) 人氣()