複製內容到剪貼板
代碼:
病毒型態: 蠕蟲病毒
影響平台: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述: W32.Yawmo是一隻藉由Winny及Share這2套P2P軟體檔案分享的網路來傳播的病毒,它可以藉由這兩套軟體將敏感的資訊傳送出去。說明:
W32.Yawmo是一隻藉由Winny及Share這2套P2P軟體檔案分享的網路來傳播的病毒,它可以藉由這兩套軟體將敏感的資訊傳送出去。
一但W32.Yawmo被執行,會產生下列的動作:
1. 在下列位置產生下列的檔案:
A. %System%\System32\ya_wmp.exe
(ya_wmp.exe只是一份W32.HLLW.Antinny病毒的複製品。W32.HLLW.Antinny病毒是一隻由Microsoft Visual C++.所寫成的病毒,它主要是藉由Winny這套P2P軟體的檔案分享網路來傳播。有關於W32.HLLW.Antinny病毒的詳細說明請參考http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.antinny.html )
B. %System%\winsocks.dll
(winsocks.dll是W32.Mydoom.B@mm的複製品。它主要功能是會開啟被感染電腦的後門,藉此下載W32.Yawmo。有關於W32.Mydoom.B@mm病毒的詳細說明請參考
http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.b@mm.html )
註:%System%代表系統資料夾的位置在Windows 95/98/Me的預設位置是C:\Windows\System在Windows NT/2000的預設位置是C:\Winnt\System32而在Windows XP的預設位置是C:\Windows\System32
2. 在C:\Recycler或C:\Recycled資料夾下產生一個偽裝成explorer.exe的Backdoor.Nodelm病毒複製檔
(Backdoor.Nodelm 是一隻能開啟受感染電腦後門的木馬程式,並且它能使一個遠端的攻擊者可以未經授權就存取受感染的電腦。有關於Backdoor.Nodelm病毒的詳細說明請參考
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.nodelm.html )
3. 在下列註冊子機碼中新增值,使ya_wmp.exe以及winsocks.dll在每次開機時能自動執行:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
新增"YA_WMP" = "%System%\ya_wmp.exe -update" HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32
新增"(Default)" = "%System%\winsocks.dll"
4. 在註冊子機碼
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
新增值"explorer.exe" = ""%Recycler%/explorer.exe""
5. 搜尋Winny和Share的上傳資料夾並下載檔案至這些上傳資料夾中
6. 開啟媒體播放程式(Windows Media Player)
解決方案:複製內容到剪貼板
代碼:
1.清除系統復原器 (Windows Me/XP)。 系統復原能夠使系統回復到預設狀態,假如電腦的資料毀損可以用來復原資料。若是電腦受到了病毒、蠕蟲或是木馬感染,系統復原也會記錄他們。Windows 預防任何外部程式來修改系統復原,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統復原資料夾中的威脅。這麼一來既使你已經在其他的資料夾清除了感染的檔案還是有可能經由系統復原來回復受感染的檔案。
清除系統復原的方法可以閱讀Windows 的文件或是參考以下網頁:
清除Windows Me系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenDocument&src=sec_doc_nam
清除Windows XP系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam
2. 更新你的防毒軟體的病毒定義檔。
[注意]若是你的電腦沒有安裝防毒軟體可以參考以下幾個免費線上掃毒網站:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
3. 以安全模式或是命令提示列的安全模式重新啟動電腦。
4. 使用你的防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
5. 從下列步驟移除或修正被修改的註冊機碼值
A. 從」開始」選擇」執行」.
B. 輸入regedit
C. 按下」確定」來開啟註冊碼編輯器
D. 至下列子機碼位置 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
E. 刪除在右邊視窗的下列機碼值 "YA_WMP" = "%System%\ya_wmp.exe -update"
F. 至下列子機碼位置 HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35- 11CF-9C87-00AA005127ED}\InprocServer32
G. 刪除在右邊視窗的下列機碼值 "(Default)" = "%System%\winsocks.dll"
H. 至下列子機碼位置 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
I. 刪除在右邊視窗的下列機碼值 "explorer.exe" = ""%Recycler%/explorer.exe""
J. 離開註冊碼編輯器
6. 將電腦由一般模式啟動,即完成w32.yawmo病毒清除處理程序。
