|
||
|
Golden Member
 
加入日期: Apr 2001 您的住址: 雞窩
文章: 2,822
|
病毒通報!!!!!新變種病毒
我們公司這幾天發現新的病毒,防毒軟體掃不到~~~網站也找不到相關資料
跟大家報告一下!請大家多多注意 1.攻擊途徑:網芳 由445port進行政擊! 2.攻擊目標:win2K以上作業系統,病毒會攻擊猜測帳號和密碼,若沒有設定密碼或密碼太簡單者,將會被感染,,(疑為W32.HLLW.Gaobot.gen 之變種病毒) 3.影響:中毒者將會送出大量445的封包,癱瘓網路!!! 處理方式如下!!! 1.按下ctrl + shift +esc 然後選擇選處理程序,看一下是否有rbot32.exe,如果有..表示已經中毒了 2.請將administrator更名,並加上密碼(請勿設定太簡單,例123,abc,adm,等...病毒會猜密碼...) 3. 請重開機在BIOS開機畫面後按F8選擇進入安全模式(含網路功能)。 *** 若未進入安全模式則檔案有可能無法刪除!!請務必進入安全模式**** 進入安全模式後請刪除 c:\rbot32.exe還有 c:\winnt\system32\rbot32.exe *** ,請搜尋所有硬碟 只要是找到rbot32.exe robt32.exe請全部刪除 5.執行Regedit(登錄檔編輯程式),開始-->執行--->regedit ****刪除所有可以在regedit中找到的 rbot32.exe 或 robt32.exe 6.執行Windows Update (IE瀏覽器->工具->Windows Update->掃瞄更新檔 項目->檢視並安裝更新檔->立即安裝)若需重新開機請重新開機,重 複以上各步驟直至"重大更新和ServicePack(0)為止。 7.再檢查是否有rbot32.exe...... 
__________________
  燦坤卡號 36680441 歡迎取用 順發卡號 00149760 歡迎取用 [2015日本滋賀縣 琵琶湖 機車環湖之旅] [2016東京競馬初體驗] [2017四國機車行] [2018紀伊半島機車行] [2019 HONDA CROSS CUB山陰閒晃][2021 久違的重機開箱文-Z900RS] [景點分享-台南東山咖啡-竹栱仔厝] [2022 重機小跑-環半島之旅] [2023-名古屋-富士山之旅] [2024-北海道-道南之旅] |
|||||||
2004-04-22, 12:09 AM
#1
|
|
|
Golden Member
加入日期: Apr 2001 您的住址: 雞窩
文章: 2,822
|
引用:
花了快一天找出來的..... 1.一開始是從防火牆看到大量的445port封包,接著發封包的電腦愈來愈多台. 2.馬上去查發出封包的電腦,用最近的病毒定義,掃瞄引擎,掃不到任何病毒,但封包依然不斷出現 3.先檢查是否有沒看過的服務或程式被啟動...此時發現rbot32.exe這個檔案!,檢查系統啟動時的run下面.也發現rbot32.exe的登錄機碼,再去另一台有同樣像現的電腦檢查,一樣看到rbot32.exe,再興另一台沒中毒的電腦比對相異之處,結論為有中毒之電腦皆為administrator之密碼空白,沒中毒那台administrator有設定密碼 4.驗證是否該檔為病毒,進入安全模式,移除所有與rbot32.exe相關之資料(檔案,機碼) 一台將administrator更名並加入密碼,另一台保持administrator空白密碼,處理完後重開機. 5.檢查這兩台電腦是否仍送出封包!經用netstat -a檢查後發現已無445之封包,經過十分鐘後,administrator未更名之電腦,開始又出現大量之封包(445)......檢查電腦後發現rbot32.exe又出現了,而另一台有更名及加入密碼之電腦並無症狀 6.依造上述狀況研判,該病毒特性與W32.HLLW.Gaobot.gen極為相似,可能為變種病毒,就算windows修補到最新了,只要administrator的權限被取得,病毒仍可入侵 (當然administrator不設密碼,實在是很糟的事......因為各單位電腦自己管.我們管不著...廠商都是幫他們做administrator自動登錄,空白密碼) ,至於簡單之密碼如123,321,aaa,bbb是依W32.HLLW.Gaobot.gen的特性推斷出來的,是否真的一樣,不確定也沒空嘗試,反正請user密碼設長一點總是比較安全 以上為分析過程,當然這只是我們自己的分析,而我們並不是防毒公司,正式的訊息可能還是要等防毒公司發佈,這些資訊是提供大家萬一遇到和我們一樣狀況時,緊急的應便方法,給大家參考參考.....今天至少有二十台同感染,網路變得很慢很慢.....此時就可以了解為何那麼多人討厭MicroSoft了.... 
__________________
燦坤卡號 36680441 歡迎取用 順發卡號 00149760 歡迎取用 [2015日本滋賀縣 琵琶湖 機車環湖之旅] [2016東京競馬初體驗] [2017四國機車行] [2018紀伊半島機車行] [2019 HONDA CROSS CUB山陰閒晃][2021 久違的重機開箱文-Z900RS] [景點分享-台南東山咖啡-竹栱仔厝] [2022 重機小跑-環半島之旅] [2023-名古屋-富士山之旅] [2024-北海道-道南之旅] |
|
|
2004-04-22, 12:41 AM
#3
|
|
|
*停權中*
加入日期: Jun 2000
文章: 548
|
引用:
真是個優秀的網管 !  給您鼓掌 !!  |
|
|
2004-04-22, 12:45 AM
#4
|
|
|
Major Member
加入日期: Oct 2003 您的住址: Taipei
文章: 150
|
引用:
超級認真的網管、小弟配服你!  反正有Windows 的更新檔就要更新。 有防火牆的裝防火牆、病毒碼也要有多新就要有多新! 你是第一天來的啊、還要我教!趕快去更新啊。 .......... . . . . 大哥:小弟用Debain Linux2.7穩定版!與中、日Windows 2000做三重開機。 (Linux只是預防萬一Windows都掛的話,我還可以救資料)
__________________
|
|
|
2004-04-22, 01:08 AM
#6
|
|
|
Advance Member
  加入日期: Nov 2003
文章: 323
|
真素厲害,不豬是用哪一套掃的,有用Kav掃過嗎
|
|
2004-04-22, 01:10 AM
#7
|
|
|
Golden Member
加入日期: Apr 2001 您的住址: 雞窩
文章: 2,822
|
引用:
Symantec AntiVirus Enterprise Edition 和 Trend officescan 都有試 都找不到.....不過長期用下來symantec的產品感覺比較穩定 officescan常常出問題 .KAV沒用過... 如果好用的話,考慮明年把officescan換掉
__________________
燦坤卡號 36680441 歡迎取用 順發卡號 00149760 歡迎取用 [2015日本滋賀縣 琵琶湖 機車環湖之旅] [2016東京競馬初體驗] [2017四國機車行] [2018紀伊半島機車行] [2019 HONDA CROSS CUB山陰閒晃][2021 久違的重機開箱文-Z900RS] [景點分享-台南東山咖啡-竹栱仔厝] [2022 重機小跑-環半島之旅] [2023-名古屋-富士山之旅] [2024-北海道-道南之旅] |
|
|
2004-04-22, 01:15 AM
#9
|
|
|
Junior Member
加入日期: Nov 2002 您的住址: ??
文章: 806
|
小弟現在也想轉灌Kav,無奈現在主機上的pccellin2002不能反安裝(原安裝檔沒留著)
Kav已經在旁邊等好幾天了,好像Kav跟 金山毒霸 的掃毒跟新病毒發現/更新 都比現在最多人用的pcc跟norton好很多..... 請大大教教我如何移除現在的pccellin呀 去官網下載trail2002版本說版本不符....... 整個掃regedit裡的又怕會漏掉classID部分.... 再給樓主一個掌聲∼∼!哪個公司錄用到您可真幸運呀 |
|
2004-04-22, 01:20 AM
#10
|
|
