:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
病毒通告
分隔線
W32.Trats.B 病毒透過多重管道散播,請使用者勿開啟任何可疑的檔案與連結!(2009/09/01)
 
詳細描述:

W32.Trats.B 病毒入侵電腦後,會利用Rootkit 技術隱藏,以及在登錄機碼中的啟動區新增啟動機碼,令電腦用戶難以察覺,並且還會從固定的URL 下載包括木馬等惡意程式並存在被感染的電腦中,在每次系統啟動時運行,進一步透過行動儲存裝置和Yahoo! Messenger 傳播。 當系統感染病毒後,會在系統進行以下行動:

  • 複製自己成以下檔案:
    %System%\Rohitab.exe
    %System%\HRegA.dll
    %System%\HRegW.dll
    %System%\Kernl.dll
    %Windir%\MicrosoftX.sys
  • 修改登錄機碼使其在每次開機時自動執行
  • 產生登錄機碼,註冊MicroS與SkyNet兩個系統服務
  • 產生登錄機碼讓病毒本身註冊成驅動程式服務:
  • 嘗試連接以下網址下載病毒檔:
    [http://]diendantinhoc.123laptop.net/SkyNe[REMOVED]
    [http://]maiami.123laptop.net/DDos[REMOVED]
    [http://]maiami.123laptop.net/RATx[REMOVED]
    [http://]maiami.123laptop.net/benin[REMOVED]
    [http://]update.123laptop.net/updat[REMOVED]
    下載的病毒檔如下:
    %Windir%\skynet.sys
    %Windir%\system\svchost.exe (木馬程式)
    %Windir%\RATx.exe (下載器)
    %Windir%\benina.exe (木馬程式)
    %Windir%\SkyNet.exe
  • 複製下列檔案到行動儲存裝置,並於該裝置連接另一台電腦時自動執行
    %DriveLetter%\Rohitab.exe
  • 發送以下訊息到您在Yahoo Messenger 的聯絡人:
    Sorry spam moi nguoi, Phan mem Xem pass yahoo cua bat ky ai bang phuong phap Phan tich server yahoo,tiep do tu tai khoan yahoo co the xam nhap may tinh 1 nguoi neu ho dang online,down load tai day [http://]diendantinhoc.123laptop.net/Rohit[REMOVED]
HiNet SOC 建議您勿開啟不明檔案或即時通訊軟體發送過來的不明連結,以及關閉行動儲存裝置的自動開啟功能,並安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

 
受影響系統:
  • Windows NT / 2000
  • Windows XP
  • Windows Server 2003
  • Windows Vista
 
解決辦法:

若不慎已感染此蠕蟲,建議處理方式如下:

1、請關閉系統還原功能 (Windows Me/XP)
2、請更新防毒軟體之病毒碼定義檔到最新
3、請利用防毒軟體進行全系統掃描
4、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
  • Symantec
  •  
     
    下框