[轉錄]MSN超連結病毒WORM_KELVIR.B

作者NTUM5 (男五之僕)

看板NtuDormM5

標題[轉錄]MSN超連結病毒WORM_KELVIR.B

時間Tue Mar 8 21:27:16 2005

※ [本文轉錄自 NTUDormM7 看板] 作者: WebM7 (男七網管專用帳號) 看板: NTUDormM7 標題: MSN超連結病毒WORM_KELVIR.B 時間: Tue Mar 8 13:03:35 2005 MSN超連結病毒WORM_KELVIR.B 一、簡介： W32.Kelvir.B是透過 Windows Messager和MSN Messager散佈的病毒，它會下載並執行W32.Spybot.Worm的變種。別名： W32.Kelvir.B[Symantec] IM-Worm.Win32.Kelvir.b [Kaspersky Lab], W32/Kelvir.worm.c [McAfee], W32/Kelvir-C [Sophos], WORM_KELVIR.B [Trend Micro] 型態 : 蠕蟲發現 : 2005/3/7 影響系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 二、技術細節：當 W32.Kelvir.B 執行時，它會執行下列動作： 1.發送訊息 (例如一個下載 omg.pif 的超連結) 給所有 Windows Messager 和 MSN Messager 聯絡人。收件人點選超連結，下載檔案並且執行它。 2.一旦omg.pif被執行，它會下載並儲存為c:\dumprep.exe。 3.下載W32.Spybot.Worm，一但執行，它會拷貝自己到 %System%\hotkeysvc.exe，將檔案屬性設定為隱藏、唯讀和系統。 4.下載其它額外的檔案。 5.在登錄的下面機碼中 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Ole HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Ole HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_USERS\.default\Software\Microsoft\Ole HKEY_USERS\.default\System\CurrentControlSet\Control\Lsa 增加下面值 "CPQHotkeys" = "hotkeysvc.exe" 讓電腦啟動時可以執行它。 6.在登錄的下面機碼中 HKEY_LOCAL_MACHINE\Software\Microsoft\Ole 增加下面值 "EnableDCOM" = "N" 以便關閉DCOM。三、移除方法：手動移除： 1、關閉系統還原功能(Windows Me/XP) "How to disable or enable Windows Me System Restore" http://0rz.net/a90cl "How to turn off or turn on Windows XP System Restore" http://0rz.net/130cB 2、更新病毒定義檔。 3、重新啟動電腦至安全模式或 VGA 模式。 4、掃描並刪除受感染的檔案。 5、刪除登錄中下面資訊：按下「開始」，然後按下「執行」。(畫面上便會出現「執行」對話方塊)。輸入 regedit 然後按下「確定」。(「登錄編輯器」會開啟)。尋找下面機碼： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Ole HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Ole HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_USERS\.default\Software\Microsoft\Ole HKEY_USERS\.default\System\CurrentControlSet\Control\Lsa 刪除下面值 "CPQHotkeys" = "hotkeysvc.exe" 尋找下面機碼： HKEY_LOCAL_MACHINE\Software\Microsoft\Ole 刪除下面值 "EnableDCOM" = "N" e. 結束並離開「登錄編輯器」。四、參考資料：資安論壇 http://forum.icst.org.tw/phpBB2/viewtopic.php?t=5833 賽門鐵客w32.kelvir.b http://securityresponse.symantec.com/avcenter/venc/data/w32.kelvir.b.html 趨勢科技WORM_KELVIR.B http://0rz.net/0d0dm http://0rz.net/5a0cm -- 男七網管資訊站 http://www.bunny.idv.tw/m7/ 男七網管　內線6730 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.249.133 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.245.99