close

首先,必須申明一件事情,就算你的FlashGet是官方網站下載的,也是會中毒。

嚴重懷疑90%以上是官方做的手腳。

另外,一件可以確定的事情,我也中了...

最近PTT出現了類似的標題

廣告台詞似乎是

"但是可用的水源卻越來越少了...夢想啟動未來,歡迎到imagination.cn"

除此之外還會有其他的偽裝以及檔案替換(explore.exe)的動作

例如:會增加一個"taskmager.exe"的檔案(正常的是taskmger.exe)

FlashGet不要在用他了!

可能會隨機的釋出以下檔案:

mstest.dll
msbios.dll
upsmsg.dll
mstKde.dll
mstach.dll
msfont.dll
msGDI1.dll
mevent.dll
xmlpro.dll
dmserveresl.dll
dmserver.dll 替換修改為病毒 dmserver.dll
taskmager.exe 透過注入後下載的偽裝文件

有taskmager.exe在加上上一篇我才剛打完的dmserver.dll

天阿...這真的是太機掰了

解決方案:

1.儘速更新Microsoft critical patch MS08-067(http://www.microsoft.com/taiwan/technet/security/bulletin/MS08-067.mspx

2.請更新至最新病毒碼及掃瞄引擎。


其他更詳盡的內容(內容來源看文章的人最關心的處理方式就在這了,請仔細閱讀唷

事件描述:

微軟於上個月緊急發佈MS08-067 Windows Server Service 含有遠端執行程式碼的弱點,若攻擊者成功利用此弱點,即可能造成使用者電腦受駭。趨勢科技日前發現WORM_DOWNAD.A 蠕蟲利用微軟MS08-067 弱點進行攻擊並透過網路進行擴散,感染此蠕蟲之系統將會被建立一系統服務並且在每次開機時自動啟動該蠕蟲程式,接下來會繼續攻擊其他未修補微軟MS08-067 弱點的電腦。

HiNet SOC 建議您注意來路不明的電子郵件附檔以及內文中的不明網站連結,並安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

影響平台:

  • Windows 2000
  • Windows XP
  • Windows Server 2003

 

弱點詳述:

趨勢科技日前發現WORM_DOWNAD.A 蠕蟲利用微軟MS08-067 弱點進行攻擊並透過網路進行擴散,感染此蠕蟲之途徑可能是系統中的其他惡意程式從遠端惡意網站下載、其他惡意程式用其他方式下載或是該蠕蟲本身是屬於某個惡意程式之元件。系統受到感染後將會被建立一系統服務並且在每次開機時自動啟動該蠕蟲程式,之後會進一步透過TCP 445 Port 去攻擊網路上的其他電腦。受駭電腦還會被進一步的被當作HTTP Server 並使用隨機的Port ,當對其他電腦攻擊成功之後會將自身程式從以下網址複製一份到受駭電腦上:

  • http://{IP address of the affected machine} :{random port} /{random characters}
    註:IP address of the affected machine 代表已受感染的電腦;random port 代表隨機開啟的Port ;random characters 代表隨機產生之檔案名稱。

同時當這隻蠕蟲程式執行後,還會到以下網站下載惡意程式:

  • http://{BLOCKED}converter.biz /4vir /antispyware /loadadv.exe
    註:由於安全性考量,故部分網址內容無法提供。

另外這支惡意程式會連到下列網址,解析電腦名稱以取得IP位址:

  • http://www.getmyip.org
  • http://getmyip.co.uk
  • http://checkip.dyndns.org

HiNet SOC 建議您立即更新微軟MS08-067 的弱點修補程式、不去開啟來路不明的電子郵件以及內文中的連結,以及安裝防毒軟體且更新最新的病毒碼來降低受駭風險。

解決方法:

若不慎點擊惡意附檔或連結,建議處理方式如下:

1、請將防毒軟體之病毒定義檔更新至最新
2、請執行防毒軟體之全系統掃瞄,並記下偵測到之病毒程式檔案路徑及名稱
3、請關閉系統還原功能 (Windows Me / XP )
4、請重新開機並進入安全模式
5、刪除病毒開機自動啟動的機碼(進行本動作前,請先做登錄檔備份):

  • 點選「開始」--> 「執行」,鍵入「regedit 」 ,按下確定。
  • 請搜尋所有 ServiceDll = "{防毒軟體發現病毒程式檔案之路徑及名稱}" 登錄值,找到後請刪除左邊視窗對應之機碼。
  • 請搜尋到 HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \SvcHost 機碼,並在右邊視窗找到netsvcs 登錄值。
  • 請在「netsvcs 」 登錄值上按右鍵,點選「修改」,在數值資料欄位中,將防毒軟體發現病毒程式之檔案名稱刪除後按下確定。
  • 請離開登錄編輯程式

6、請搜尋防毒軟體偵測到之病毒程式檔案路徑下的病毒檔案,點選病毒檔案後,使用SHIFT + DELETE 進行刪除。

隨文附贈,台灣微軟更新檔下載位置:

Windows XP SP2:
http://download.microsoft.com/download/d/0/4/d04ac3ee-e381-4f1c-b8a6-022644346813/WindowsXP-KB958644-x86-CHT.exe

Windows XP SP3:
http://download.microsoft.com/download/d/0/4/d04ac3ee-e381-4f1c-b8a6-022644346813/WindowsXP-KB958644-x86-CHT.exe

Windows Vista and Windows Vista SP1:
http://download.microsoft.com/download/d/c/0/dc047ab9-53f8-481c-8c46-528b7f493fc1/Windows6.0-KB958644-x86.msu

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 深藍經典 的頭像
    深藍經典

    Wayne:This is my life in technicolor!

    深藍經典 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄