[方案]Backdoor.Wualess(Wuauclt.dll很機車)

看板AntiVirus (防毒)作者vot1077 (風之谷衛鷹)時間18年前 (2007/01/05 03:52)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

這個木馬會讓WINDOWS UPDATE失效! 然後上到WINDOWS UPDATE網站也會讓IE當掉把正常的WINDOWS Automatic Updates 的SERVICE直接更改啟動檔案=>wuauclt.dll~~ 然後讓人家看不出來! 正確為=>wuauserv.dll 而且應該只有 wuauclt.exe 不會有 wuauclt.dll 怎麼木馬越來越機車了!! 檔案作的像就算了~ 還懶的建立新的服務~ 直接改掉正確的! 這要人家怎麼查阿! ===================================================================== 名稱：Backdoor.Wualess是一種木馬程式，會在被感染的電腦上開啟後門(Backdoor)。類別：木馬程式簡介：Backdoor.Wualess是一種木馬程式，會在被感染的電腦上開啟後門(Backdoor)。受影響系統：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 內容：Backdoor.Wualess是一種木馬程式，會在被感染的電腦上開啟後門(Backdoor)。當Backdoor.Wualess執行時會有下列動作： 1. 新增下列檔案： %System%\wuauclt.dll NOTE：1.%System%是一個參考系統檔案夾的變數。預設值是： C:\Windows\System (Windows 95/98/Me) C:\Winnt\System32 (Windows NT/2000) C:\Windows\System32 (Windows XP) 2.若wuauserv這項服務目前並不存在，此木馬會在下列的登錄子機碼： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv中加入下列的值： "Start" = "2" 3.若wuauserv這項服務目前並不存在，此木馬會在下列的登錄子機碼： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters中加入下列的值：ServiceDll = %System%\wuauclt.dll 4.若wuauserv這項服務目前已經存在，則只需要更改登錄子機碼中的值就好 5.新增一個mutex的物件New20060922，確保一台電腦中這種木馬只會有一個在執行 6.嘗試使用#NL-VNC這個頻道去連接NameLess.3322.org port：5202中的IRC伺服器 7.在被感染的電腦上開啟後門，允許遠端的攻擊者可執行下列的各項功能： A. 下載並執行檔案 B. 取得一些基本的系統資訊 C. 測試連線速度 D. 更新後門程式 E. 刷新DNS快取 F. 存取被感染電腦上的檔案解決方案：1. 取消系統還原(對於Window Me/XP) Window Me (a) 點選開始\設定\控制面版 (b) 滑鼠左鍵兩下點選執行系統(System) (c) 在效能頁面點選檔案系統 (d) 勾選取消系統還原並按確定重新開機 Window XP (a) 按開始 (b) 滑鼠右鍵選取我的電腦，點選內容 (c) 尋找系統還原的頁面，取消系統還原 (d) 點選套用 (e) 電腦會提醒有關細節，點選確定 2. 更新病毒定義檔至所使用防毒軟體之公司網站下載最新的病毒定義檔賽門鐵克：http://securityresponse.symantec.com/avcenter/defs.download.html 趨勢科技：http://www.trendmicro.com/download/zh-tw/ 3. 執行全系統掃描 (a) 執行防毒軟體，並設定為執行全系統掃描 (b) 如果偵測到病毒，則採取防毒軟體所建議的步驟 [註]如果沒有防毒軟體，可以到以下網站線上掃毒： http://www.kaspersky.com.tw/virusscanner/# http://www3.ca.com/securityadvisor/virusinfo/scan.aspx http://housecall.trendmicro.com/ 4. 刪除登入項目的值： A. 點選開始\執行 B. 輸入 regedit C. 點選 OK NOTE：如果登錄編輯程式執行失敗，病毒可能把登錄編輯程式的路徑更改，Security Response有發展一套工具可以解決這個問題，請到下列網址： http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99 下載並執行，即可繼續後面的步驟 D. 跳到下列的登錄子機碼(registry subkey) 並點選： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv E. 刪除右邊框出現的符合下列字串的值： Start = 2 F. 跳到下列的登錄子機碼(registry subkey)並點選： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters G. 刪除右邊框出現的符合下列字串的值： ServiceDll = %System%\wuauclt.dll H. 離開登錄編輯程式 (G的步驟我作一下修正:不應該刪除~而是把wuauclt.dll改成wuauserv.dll) -- 自然就是美傾聽‧自然之美 [azureseashor NB_SIRIUS 國王 Σ 天狼星 >住在天狼星上 [pp10086] vot1077 天鷹 ◎風之谷 vot1077 我的PTT2個版喔! http://www.wretch.cc/album/vot1077 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.130.153.7 ※ 編輯: vot1077 來自: 220.130.153.7 (01/05 04:04)