複製內容到剪貼板
代碼:
病毒型態: 蠕蟲病毒
影響平台: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP說明:
W32.Jalabed.B@mm是一支會散發大量郵件的蠕蟲(mass-mailing worm),該蠕蟲會主動收集受感染主機內的郵件位址清單並寄出含有蠕蟲本身的信件,W32.Jalabed.B@mm亦可經由mIRC傳播( mIRC為IRC用戶端程式,由 Khaled Mardam-Bey 所設計的視窗軟體)。
一旦W32.Jalabed.B@mm執行後,系統會產生以下的事件:
1. 建立以下檔案:
%Windir%\kh4l3d.txt
%Windir%\arabic.exe
%Windir%\usefull.txt.exe
%Windir%\FIFA 2006 Ticket.doc.exe
%Windir%\mail.vbs
註:
%Windir% 是泛指安裝Windows的目錄。一般預設為 C:\Windows或是C:\Winnt。
2. 在登錄檔機碼
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
中加入以下數值:
"4r4bic h4x0r" = "%Windir%\arabic.exe""
使得系統每次啟動時都會執行此程式。
3. 建立IRC腳本檔案( IRC script file ) C:\mirc\script.ini,並經由mIRC來竊聽目前使用的IRC頻道。當一個新使用者要加入已被竊聽的頻道時,使用者會自動複製usefull.txt.exe 並經由DCC ( Direct client-to-client )傳送。
4. 若是使用者欲傳送含有下列字串的訊息,腳本會企圖關閉mIRC:
(1) Virus
(2) Worm
(3) Virii
(4) infected
(5) Antivirus
5. 若是使用者有安裝共享軟體Kazaa,蠕蟲將會尋找Kazaa transfer folder,並複製其本身且使用以下任一的檔案名稱並經由Kazaa分享:
(1) BattleField2 Crack.exe
(2) Data Stealer.exe
(3) MSN Pass Stealer.exe
(4) Synflooder.exe
(5) IP Bomber.exe
(6) Cracker.exe
(7) Setup.exe
(8) Java in 24 hours.zip.exe
(9) Flasher.exe
(10) Pennis Enlargemet Tutorial.txt.exe
(11) Porn Hacker.zip.exe
(12) IP Hider.exe
(13) Bomber.exe
(14) Best Porn Sites.txt.exe
(15) Kazaa Download Speed.txt.exe
(16) FBI Hack.zip.exe
(17) Dirty Tricks.zip.exe
(18) Chat Nuker.exe
(19) ICQ Fucker.exe
(20) Sub 7 2.5.zip.exe
(21) Hider.exe
(22) Enlargement.txt.exe
(23) Best Of Porn.mpg.exe
(24) Pamela Anderson.jpg.exe
(25) Jelo.jpg.exe
(26) Paris Hilton.jpg.exe
(27) One Night in Paris.mpg.exe
(28) Sexy Sport Clips.mpg.exe
(29) Howto be a PIMP.txt.exe
(30) Secrets of Sex.txt.exe
(31) School Pc Fucker.zip.exe
(32) Driver3.exe
(33) IP Stealer.zip.exe
(34) Hot Video Clip.mpg.exe
(35) Naked Anastacia.jpg.exe
(36) Group Sex.jp.exe
(37) Howto Hacker.txt.exe
(38) Hacking Government.txt.exe
(39) Howto Find IP.txt.exe
(40) Stealth Portscanner.exe
(41) C Sources.zip.exe
(42) Mytob Source.txt.exe
(43) IIS hacker.zip.exe
(44) Howto Hack.zip.exe
(45) Saver.zip.exe
(46) Hacking Webserver.txt.exe
(47) FBI Hacking tip.zip.exe
(48) Hacker Tool Set.zip.exe
(49) Killer.exe
(50) Call of Duty Crack.exe
(51) MOHAA Crack.exe
(52) BattleFront2 Crack.exe
(53) NBA 2006 Crack.exe
(54) MP3 Compresser.zip.exe
(55) RM Converter.zip.exe
(56) Sexy Screensaver.exe
(57) Anonym Proxy.exe
(58) Steganos IP Bomber.exe
(59) IP Shocker.exe
(60) TCP Hijacker.exe
(61) ICMP Flooder.exe
(62) ICQ Fucker.exe
(63) MSN Nuker.exe
(64) MSN IP Finder.exe
(65) MSN Chat Flooder.exe
(66) MSN Contact Fucker.exe
(67) FAKE SERVER.exe
(68) HTTP RAT Client.exe
(69) Optix Trojan.zip.exe
(70) Viruses.zip.exe
(71) Worm Sources.zip.exe
(72) Porno.jpg
(73) Nacked.jp.exe
(74) Lesbian in Bathroom.mpg.exe
(75) Hardcore Sex.mpg.exe
(76) Muschi.jpg.exe
(77) Nacked.mpg.exe
(78) Tatu lesbian video.mpg.exe
(79) Anna kournikova.mpg.exe
(80) Anna Kournikova Nacked.jpg.exe
(81) Britney Nacked.jpg.exe
(82) Christina Aguilera Caught by Spycam.mpg.exe
(83) Muschis.jpg.exe
(84) Pussy.jpg.exe
(85) Cracking Tutorial.zip.exe
(86) Nigger Sex.mpg.exe
(87) Black fucking white.mpg.exe
(88) italain blow job.mpg.exe
(89) Blow Job.mpg.exe
(90) Summer Blow job.mpg.exe
(91) Sexy.jpg.exe
(92) Latein Hardcore.mpg.exe
(93) Spain Group Sex.mpg.exe
(94) Girl with dildo.mpg.exe
(95) Trouble Maker.exe
(96) Sex in Forest.mpg.exe
(97) Sex in Toilet.mpg.exe
(98) Sexy Airline Sex.mpg.exe
(99) Nacked Airline Crew.jp.exe
(100) Sex.mpg.exe
(101) Sex.mpeg.exe
(102) Sex.wma
(103) Sex.wmv.exe
(104) Porn.wma.exe
(105) Porn.mpg.exe
(106) Porn.mpeg.exe
6. 從Windows Address Book尋找電子郵件信箱位址。
7. 寄出含有蠕蟲本身的信件至搜尋到的電子郵件信箱位址,其電子郵件會有以下的特徵:
寄件者: 任意的使用者及位址 主旨: Im the winner of 2 FIFA tickets 信件內容: You wont believe it but im the winner of 2 tickets for FIFA 2006 in Germany,if you want a ticket read attackment ;) 附件: FIFA 2006 Ticket.doc.exe
8. 尋找並覆寫以下的檔案:
C:\inetpub\wwwroot\index.html
解決方案:複製內容到剪貼板
代碼:
1.清除系統復原器 (Windows Me/XP)。
系統復原能夠使系統回復到預設狀態,假如電腦的資料毀損可以用來復原資料。若是電腦受到了病毒、蠕蟲或是木馬感染,系統復原也會記錄他們。Windows 預防任何外部程式來修改系統復原,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統復原資料夾中的威脅。這麼一來既使你已經在其他的資料夾清除了感染的檔案還是有可能經由系統復原來回復受感染的檔案。
清除系統復原的方法可以閱讀Windows 的文件或是參考以下網頁:
清除Windows Me系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/ 2001012513122239?OpenDocument&src=sec_doc_nam
清除Windows XP系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/ 2001111912274039?OpenDocument&src=sec_doc_nam
2.更新你的防毒軟體的病毒定義檔。
[注意]若是你的電腦沒有安裝防毒軟體可以參考以下幾個免費線上掃毒網站:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
3. 以安全模式或是命令提示列的安全模式重新啟動電腦。
4. 使用你的防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
5.刪除以下蠕蟲建立的檔案:
%Windir%\kh4l3d.txt
%Windir%\arabic.exe
%Windir%\usefull.txt.exe
%Windir%\FIFA 2006 Ticket.doc.exe
%Windir%\mail.vbs
於Kazaa transfer folder所新增的檔案。
6. 移除registry中的數值
[注意]在變更registry前建議先進行備份的動作,錯誤的更動會導致永久的資料遺失或者檔案毀損,並只需要修改必要的子金鑰。
a. 點選 [開始] > [執行]
b. 輸入regedit
c. 點擊 [確定]
d. 進入以下的機碼目錄中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
e. 在右方列表中刪除以下參數:
"4r4bic h4x0r" = "%Windir%\arabic.exe"
f. 關閉registry編輯器
7. 將被感染的檔案刪除後,將電腦由一般模式啟動,如此,即完成Trojan.Mdropper.K木馬清除處理程序。
