安全通報
W32.Bizex 蠕蟲
W32.Bizex 蠕蟲會透過ICQ 網絡傳播。蠕蟲傳送一個含有 "www.joke(removed).biz :) LOL" 或 "http://www.joke(removed).biz/index.html" 的訊息至 ICQ 連絡列表上的所有連絡人。它使用Internet Explorer 的 IFRAME 漏洞 (MS01-020) 令系統自動去執行一個特別製造的 ICQ 音效設定檔案 (.scm) 。 蠕蟲會在視窗系統資料夾內建立一個 "SYSMON" 資料夾,並以 "sysmon.exe" 命名及複製至這個資料夾內。它會在視窗系統登錄中建立一個啟動索引值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "sysmon" = %sysdir%\SYSMON\sysmon.exe 因此,蠕蟲會在每次視窗系統啟動時執行。 當蠕蟲執行時,會顯示以下的錯誤訊息的對話閘:
一旦系統受到感染,蠕蟲會在受感染系統上禁止執行大部份的應用程式,例如:ICQ,Internet Explorer,微軟 Office 等。 蠕蟲會記錄不同網絡 sessions 的鍵盤輸入資料 (大部份是關於不同的財務服務和電郵服務) 並且透過 FTP 傳送該日誌記錄至一個指定的遠端伺服器 (www.ustrading.info) 。 此外,蠕蟲會開啟一個後門程式及監聽 TCP 連接埠 1534。
破壞力
- 傳送含有惡意 URL 的 ICQ 訊息至 ICQ 連絡列表上的所有連絡人。
- 在受感染系統上禁止執行大部份的應用程式。
- 導致電腦不能如常地關閉。
- 記錄不同網絡 sessions 的鍵盤輸入資料,並且透過 FTP 傳送該日誌記錄至一個指定的遠端伺服器 (www.ustrading.info) 。
- 開啟一個後門程式及監聽 TCP 連接埠 1534。
解決方案
- 掃描和清除蠕蟲
電腦病毒防護軟件商已提供最新的病毒清單以偵察及刪除這個病毒。
注意:請根據防毒軟件公司的指引來清除病毒和修復系統。 - 安裝 Internet Explorer 修補程式
由於蠕蟲是利用微軟 Internet Explorer 的漏洞感染系統,請盡快安裝最新的 Internet Explorer 修補程式:
更新至 Internet Explorer 5.01 SP2 或
更新至 Internet Explorer 5.5 SP2 或以上
更新至 Internet Explorer 6.0 SP1 或以上 - 在受感染的系統上重新啟動應用程式
- 重新啟動電腦。連續按 "F8" 直至電腦出現啟動選項。選擇以 "安全模式" 啟動視窗 視窗 98/ME/XP 的使用者
- 執行 "msconfig" (系統組態編輯程式) 及選擇 "啟動" 標記
- 把 " sysmon” 選項剔除
- 重新啟動視窗系統
視窗 2000 的使用者,
我們建議使用者在修改登錄索引值前首先備份原本的登錄索引值。不正確修改登錄索引值可能引致資料永久流失或對檔案造成破壞。只修改指定的索引值。
在執行下列步驟前,請確保你熟識修改的技巧:
- 開啟系統登錄編輯器,並依以下部驟,按開始>執行,輸入Regedit,再按 確定 鍵。
- 在左面的控制台上,選擇以下的路徑: HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
在右邊的控制台上,搜尋並刪除以下的索引值:
sysmon = %Windows%\SYSTEM32\SYSMON\sysmon.exe - 關閉系統登錄編輯器
- 重新啟動電腦