:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
病毒通告
分隔線
W32.Pilleuz 病毒隱身資源回收桶並開啟後門,請使用者勿開啟任何可疑的檔案與連結!(2009/10/22)
 
詳細描述:

防毒軟體廠商賽門鐵克近來發現,W32.Pilleuz 蠕蟲執行後會將自身複製到系統磁碟機的資源回收筒中隱藏並且開啟後門及設定開機時自動執行,行為說明如下:

  • 將自身複製到系統磁碟機的資源回收筒中,路徑如下:
    %SystemDrive%\ RECYCLER\ [SID]\ sysdate.exe
    %SystemDrive% \RECYCLER\ [SID]\ Desktop.ini
    註:SID 格式如此範例"S-1-5-21-0741203276-5174745523-898393899-9038"
  • 加入登錄機碼使其在每次開機時自動執行:
    HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ "Taskman " = " %SystemDrive%\ RECYCLER\ [SID]\ sysdate.exe"
  • 嘗試連線到以下網域:
    "qwertasdfg.sinip.es"
    "butterfly.sinip.es"
    "bfisback.no-ip.org"
  • 接下來該蠕蟲會開啟後門程式,以利駭客進行以下行動:
    1、存取使用者電腦上的檔案。
    2、下載可執行程式到使用者電腦中並執行,包括病毒的更新。
    3、利用使用者電腦發起阻斷服務 (DoS) 攻擊。
    4、修改 hosts 檔案。
    5、竊取使用者瀏覽器資料,如 Cookie 和儲存在電腦中的密碼。
  • 複製自身程式及autorun.inf 到抽取式儲存行動裝置,路徑如下:
    %DriveLetter%\ Resources\sEtuP64.exe
    %DriveLetter%\ autorun.inf
    註:%DriveLetter%,為抽取式儲存行動裝置磁區代號。
  • 嘗試透過以下檔案分享軟體,複製自身程式散播:
    Ares
    BearShare
    DC++
    eMule
    iMesh
    Kazaa
    LimeWire
    Shareaza
  • 最後亦會透過IM 軟體進行散佈可下載此蠕蟲程式之惡意連結
HiNet SOC 建議您勿開啟不明檔案或即時通訊軟體發送過來的不明連結、使用防毒軟體掃描後再行開啟抽取式儲存行動裝置以及盡量不要開啟電腦的檔案共用功能,並安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

 
受影響系統:
  • Windows NT / 2000
  • Windows XP
  • Windows Server 2003
  • Windows Vista
 
解決辦法:

若不慎已感染此蠕蟲,建議處理方式如下:

1、請關閉系統還原功能 (Windows Me/XP)
2、請更新防毒軟體之病毒碼定義檔到最新
3、請利用防毒軟體進行全系統掃描
4、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
  • Symantec
  •  
     
    下框