PCDVD數位科技討論區 - 病毒通報!!!!!新變種病毒

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)

- 七嘴八舌異言堂 (https://www.pcdvd.com.tw/forumdisplay.php?f=12)

- - 病毒通報!!!!!新變種病毒 (https://www.pcdvd.com.tw/showthread.php?t=325578)

病毒通報!!!!!新變種病毒

我們公司這幾天發現新的病毒,防毒軟體掃不到~~~網站也找不到相關資料
跟大家報告一下!請大家多多注意
1.攻擊途徑:網芳由445port進行政擊!
2.攻擊目標:win2K以上作業系統,病毒會攻擊猜測帳號和密碼,若沒有設定密碼或密碼太簡單者,將會被感染,,(疑為W32.HLLW.Gaobot.gen 之變種病毒)
3.影響:中毒者將會送出大量445的封包,癱瘓網路!!!

處理方式如下!!!

1.按下ctrl + shift +esc 然後選擇選處理程序,看一下是否有rbot32.exe,如果有..表示已經中毒了

2.請將administrator更名,並加上密碼(請勿設定太簡單,例123,abc,adm,等...病毒會猜密碼...)

3. 請重開機在BIOS開機畫面後按F8選擇進入安全模式(含網路功能)。
*** 若未進入安全模式則檔案有可能無法刪除!!請務必進入安全模式****
進入安全模式後請刪除 c:\rbot32.exe還有 c:\winnt\system32\rbot32.exe *** ,請搜尋所有硬碟只要是找到rbot32.exe robt32.exe請全部刪除

5.執行Regedit(登錄檔編輯程式)，開始-->執行--->regedit
****刪除所有可以在regedit中找到的 rbot32.exe 或 robt32.exe

6.執行Windows Update (IE瀏覽器->工具->Windows Update->掃瞄更新檔
　項目->檢視並安裝更新檔->立即安裝)若需重新開機請重新開機，重
　複以上各步驟直至"重大更新和ServicePack(0)為止。

7.再檢查是否有rbot32.exe......

:nonono:

既然還沒發佈,那你怎麼分析病毒特性?

引用:

Originally posted by 吉他之繩
既然還沒發佈,那你怎麼分析病毒特性?

花了快一天找出來的.....
1.一開始是從防火牆看到大量的445port封包,接著發封包的電腦愈來愈多台.

2.馬上去查發出封包的電腦,用最近的病毒定義,掃瞄引擎,掃不到任何病毒,但封包依然不斷出現

3.先檢查是否有沒看過的服務或程式被啟動...此時發現rbot32.exe這個檔案!,檢查系統啟動時的run下面.也發現rbot32.exe的登錄機碼,再去另一台有同樣像現的電腦檢查,一樣看到rbot32.exe,再興另一台沒中毒的電腦比對相異之處,結論為有中毒之電腦皆為administrator之密碼空白,沒中毒那台administrator有設定密碼

4.驗證是否該檔為病毒,進入安全模式,移除所有與rbot32.exe相關之資料(檔案,機碼)
一台將administrator更名並加入密碼,另一台保持administrator空白密碼,處理完後重開機.

5.檢查這兩台電腦是否仍送出封包!經用netstat -a檢查後發現已無445之封包,經過十分鐘後,administrator未更名之電腦,開始又出現大量之封包(445)......檢查電腦後發現rbot32.exe又出現了,而另一台有更名及加入密碼之電腦並無症狀

6.依造上述狀況研判,該病毒特性與W32.HLLW.Gaobot.gen極為相似,可能為變種病毒,就算windows修補到最新了,只要administrator的權限被取得,病毒仍可入侵
(當然administrator不設密碼,實在是很糟的事......因為各單位電腦自己管.我們管不著...廠商都是幫他們做administrator自動登錄,空白密碼) ,至於簡單之密碼如123,321,aaa,bbb是依W32.HLLW.Gaobot.gen的特性推斷出來的,是否真的一樣,不確定也沒空嘗試,反正請user密碼設長一點總是比較安全

以上為分析過程,當然這只是我們自己的分析,而我們並不是防毒公司,正式的訊息可能還是要等防毒公司發佈,這些資訊是提供大家萬一遇到和我們一樣狀況時,緊急的應便方法,給大家參考參考.....今天至少有二十台同感染,網路變得很慢很慢.....此時就可以了解為何那麼多人討厭MicroSoft了....:jolin:

引用:

Originally posted by chk
花了快一天找出來的.....
1.一開始是從防火牆看到大量的445port封包,接著發封包的電腦愈來愈多台.

2.馬上去查發出封包的電腦,用最近的病毒定義,掃瞄引擎,掃不到任何病毒,但封包依然不斷出現

3.先檢查是否有沒看過的服務或程式被啟動...此時發現rbot32.exe這個檔案!,檢查系統啟動時的run下面.也發現rbot32.exe的登錄機碼,再去另一台有同樣像現的電腦檢查,一樣看到rbot32.exe,再興另一台沒中毒的電腦比對相異之處,結論為有中毒之電腦皆為administrator之密碼空白,沒中毒那台administrator有設定密碼

4.驗證是否該檔為病毒,進入安全模式,移除所有與rbot32.exe相關之資料(檔案,機碼)
一台將administrator更名並加入密碼,另一台保持administrator空白密碼,處理完後重開機.

5.檢查這兩台電腦是否仍送出封包!經用netstat -a檢查後發現已無445之封包,經過十分鐘後,administrator未更名之電腦,開始又出現大量之封包(445)......檢查電腦後發現rbot32.exe又出現了,而另一台有更名及加入密碼之電腦並無症狀

6.依造上述狀況研判,該病毒特性與W32.HLLW.Gaobot.gen極為相似,可能為變種病毒,就算windows修補到最新了,只要administrator的權限被取得,病毒仍可入侵
(當然administrator不設密碼,實在是很糟的事......因為各單位電腦自己管.我們管不著...廠商都是幫他們做administrator自動登錄,空白密碼) ,至於簡單之密碼如123,321,aaa,bbb是依W32.HLLW.Gaobot.gen的特性推斷出來的,是否真的一樣,不確定也沒空嘗試,反正請user密碼設長一點總是比較安全

以上為分析過程,當然這只是我們自己的分析,而我們並不是防毒公司,正式的訊息可能還是要等防毒公司發佈,這些資訊是提供大家萬一遇到和我們一樣狀況時,緊急的應便方法,給大家參考參考.....今天至少有二十台同感染,網路變得很慢很慢.....此時就可以了解為何那麼多人討厭MicroSoft了....:jolin:

真是個優秀的網管 ! :)
給您鼓掌 !! :agree:

引用:

Originally posted by 神奇天鵝
真是個優秀的網管 ! :)
給您鼓掌 !! :agree:

是滴,這是位認真的網管,不是動嘴巴的網管.:agree:

有一種網管,是專門回答問題的.什麼問題問她,一定會回答.這也是正常的,那也是正常的.或者過一會而就正常了,或者明天就正常了.一般運氣不錯的都可以這樣矇過去.
遇到這種新狀況就完全暴露了.;)

引用:

Originally posted by 吉他之繩
是滴,這是位認真的網管,不是動嘴巴的網管.:agree:

有一種網管,是專門回答問題的.什麼問題問她,一定會回答.這也是正常的,那也是正常的.或者過一會而就正常了,或者明天就正常了.一般運氣不錯的都可以這樣矇過去.
遇到這種新狀況就完全暴露了.;)

超級認真的網管、小弟配服你！:D

反正有Windows 的更新檔就要更新。
有防火牆的裝防火牆、病毒碼也要有多新就要有多新！
你是第一天來的啊、還要我教！趕快去更新啊。
:jolin: .....
.....
.
.
.
.
大哥：小弟用Debain Linux2.7穩定版！與中、日Windows 2000做三重開機。:agree:
(Linux只是預防萬一Windows都掛的話，我還可以救資料):)

真素厲害，不豬是用哪一套掃的，有用Kav掃過嗎

引用:

Originally posted by pingua
真素厲害，不豬是用哪一套掃的，有用Kav掃過嗎

Symantec AntiVirus Enterprise Edition 和 Trend officescan 都有試
都找不到.....不過長期用下來symantec的產品感覺比較穩定
officescan常常出問題
.KAV沒用過...:jolin:
如果好用的話,考慮明年把officescan換掉

小弟現在也想轉灌Kav，無奈現在主機上的pccellin2002不能反安裝(原安裝檔沒留著)

Kav已經在旁邊等好幾天了，好像Kav跟金山毒霸的掃毒跟新病毒發現/更新
都比現在最多人用的pcc跟norton好很多.....

請大大教教我如何移除現在的pccellin呀
去官網下載trail2002版本說版本不符.......
整個掃regedit裡的又怕會漏掉classID部分....

再給樓主一個掌聲～～！哪個公司錄用到您可真幸運呀