小心即時通病毒

2007 年 07 月 26 日 – 16:58:00

剛剛有個朋友傳來一個即時通 (Windows Live Messenger) 訊息,上面寫著「傳送檔案 images.zip」,我當然不會傻傻地執行此檔案囉,感覺就像是惡意程式,請各位自己小心囉,萬一中獎,依照執行後的行為,即可清除此惡意程式。

執行之後,有下面的行為:

[Added process]
C:\WINDOWS\winlog32.exe

[Deleted process]
C:\WINDOWS\system32\wscntfy.exe

[Modified service]
NAME: wscsvc
DISPLAY: Security Center
STATUS: SERVICE_STOPPED
FILE: C:\WINDOWS\System32\svchost.exe-1 -k netsvcs

[Added file]
C:\WINDOWS\images.zip (image.zip 的 MD5 為 1f3809384c5ec47892b2a61de4f587c3,image.zip 包含 IMG34814.pif 檔案,MD5 為 fc5415dc9054ee0934e3ff3e587de444)
C:\WINDOWS\winlog32.exe

[Added registry]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value=MSN
Data=winlog32.exe

到目前為止 (2007/7/26@ 16:55),下面的防毒軟體可以偵測到這些惡意檔案 (僅提供參考):

winlog32.exe:
[ Microsoft ], "Backdoor:Win32/Sdbot.gen!A"
[ Kaspersky ], "IM-Worm.Win32.Agent.f"
[ HBEDV ], "HEUR/Malware"
[ Ewido ], "Backdoor.Bifrose.agk"
images.zip-1/IMG34814.pif:
[ Microsoft ], "Backdoor:Win32/Sdbot.gen!A"
[ Kaspersky ], "IM-Worm.Win32.Agent.f"
[ HBEDV ], "HEUR/Malware"
[ Ewido ], "Backdoor.Bifrose.agk"

注意:如果您的朋友透過即時通傳送一個連結或檔案給你,你只要先與您的朋友確定一下剛剛的訊息,即可避免中毒的情形。

  1. “小心即時通病毒” 目前有 8 迴響

  2. 請問一下我重了此病毒….但是我看不太懂您提供的處理方式…可以麻煩您詳細說明嗎???
    不好意思…冒昧了

    By Anonymous on 2007 年 07 月 26 日 - 18:22:00

  3. Cool, thanks for the analysis Roger!

    By Anonymous on 2007 年 07 月 27 日 - 06:31:00

  4. 如果你在工作管理員上看見winlog32.exe、在檔案總管中看見:\WINDOWS\images.zip或在regedit中看見HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Value=MSN
    Data=winlog32.exe
    那你應該已經中毒,如何清除它們呢?先將執行程序終止,然後,刪除那些檔案,然後,再將那些註冊碼刪除,重新開機,如果,那些東西都不在了,那表示你已經清除此惡意程式。

    我在這裡很難清楚地說如何清除惡意程式,畢竟,必須具備某些知識,如果你有興趣,又有閒錢的話,可以去上「惡意程式分析、辨識、清除、防護之標準處理程序」(http://www.iiiedu.org.tw/Taipei/edm/is028.htm)這門課(廣告一下囉,是資策會與我們合開的課)。

    By Roger on 2007 年 07 月 27 日 - 10:41:00

  5. 如果你不太懂這些的話,最好請懂的朋友幫忙一下。

    By Roger on 2007 年 07 月 27 日 - 10:46:00

  6. 感謝您的協助喔
    目前似乎已經解決了…在您提供的位置上都看不到所說的檔案
    不過我有個問題想請教您…不好意思勒
    就是在
    [Modified service]
    NAME: wscsvc
    DISPLAY: Security Center
    STATUS: SERVICE_STOPPED
    FILE: C:\WINDOWS\System32\svchost.exe-1 -k netsvcs
    這似乎是一個修正系統功能的語言…如果把所有可能的程式都刪除…那這一項不理它可以嗎???
    再次麻煩您了…非常感謝

    By Anonymous on 2007 年 07 月 27 日 - 11:22:00

  7. 這項是正常的,我只是告訴各位,此惡意程式會把微軟的安全中心服務關閉。

    By Roger on 2007 年 07 月 27 日 - 11:54:00

  8. 請問一下,之前我在網路上看到,MSN 也有 pic.zip ,還算大多數。
    是否 pic.zip 跟 image.zip 為相同呢?
    如果需要該檔案的話我這沒有…抱歉…

    By Kerash on 2007 年 08 月 12 日 - 09:21:00

  9. 要有檔案才能確認,不好意思沒能幫得上忙。

    By Roger on 2007 年 08 月 13 日 - 11:02:00

請在此留下您的意見

大砲開講 is proudly powered by WordPress Entries (RSS) and Comments (RSS).