最新消息

目前位置:首頁>最新消息>安全通報>W32.Bizex

安全通報

W32.Bizex 蠕蟲

W32.Bizex 蠕蟲會透過ICQ 網絡傳播。蠕蟲傳送一個含有 "www.joke(removed).biz :) LOL" 或 "http://www.joke(removed).biz/index.html" 的訊息至 ICQ 連絡列表上的所有連絡人。它使用Internet Explorer 的 IFRAME 漏洞 (MS01-020) 令系統自動去執行一個特別製造的 ICQ 音效設定檔案 (.scm) 。 蠕蟲會在視窗系統資料夾內建立一個 "SYSMON" 資料夾,並以 "sysmon.exe" 命名及複製至這個資料夾內。它會在視窗系統登錄中建立一個啟動索引值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "sysmon" = %sysdir%\SYSMON\sysmon.exe 因此,蠕蟲會在每次視窗系統啟動時執行。 當蠕蟲執行時,會顯示以下的錯誤訊息的對話閘:

 

 

一旦系統受到感染,蠕蟲會在受感染系統上禁止執行大部份的應用程式,例如:ICQ,Internet Explorer,微軟 Office 等。 蠕蟲會記錄不同網絡 sessions 的鍵盤輸入資料 (大部份是關於不同的財務服務和電郵服務) 並且透過 FTP 傳送該日誌記錄至一個指定的遠端伺服器 (www.ustrading.info) 。 此外,蠕蟲會開啟一個後門程式及監聽 TCP 連接埠 1534。

破壞力

 

解決方案

 

相關連結