趨勢科技諮詢百科

TROJ_DROPPER.EOE

解決方案編號: 22160
美國解決方案編號:
公布時間: 11/20/2009 10:11:33 AM
對應產品: 病毒問題 常見病毒
對應作業系統:
問題內容: 特洛伊木馬病毒是一種惡意程式,它並不會主動自我散播到其他系統. 特洛伊木馬程式通常是用戶在不知情的情況下連結到惡意網站後下載的惡意程式. 典型的特洛伊木馬會挾帶著其他惡意行為,小則輕微影響系統,嚴重時可能會造成難以挽回的破壞 他們還會修改系統以便能在開機時自動啟動惡意程式. 要恢復受影響的系統,除了掃描與防毒程式之外,還需要做其他設定。
解決方案: 1. 請執行Windows Update更新微軟的作業系統與應用程式
您可設定系統定期做自動更新
請點選控制台 > 自動更新
依照您方便的時間設定電腦自動下載更新及安裝的時間

2. 修改電腦本機的管理者密碼,密碼須具備複雜性
直接按下Ctrl+Alt+Del便會出現變更密碼的選項

3. 關閉系統還原功能
Windows XP :
右鍵點選我的電腦>系統還原
勾選"關閉所有磁碟上的系統還原"後按確定

4 . 關閉不必要的應用程式並先停止防毒軟體的即時掃描服務

5 . 暫時停止網路服務

6. 下載閃電殺毒手

http://cleantool.activeupdate.trendmicro.com/activeupdate/cleantool/cleantool.zip

7. 執行閃電殺毒手,等待5~10分後再執行閃電殺毒功能

8. 清除偵測到的病毒檔案

9 . 重新啟動電腦

10 . 若掃描完後電腦仍持續偵測到病毒無法清除,請使用iClean收集相關資料並聯絡趨勢科技技術支援中心以便提供進一步的協助
iClean下載位址http://www.trendmicro.com.tw/iclean/index.htm

11 . 下載iCean後解壓縮至暫存資料夾,執行iCleanXX.exe(XX為版本號)

12 . 執行完畢後會出現Upload.zip檔案,請將該檔案提供給趨勢科技技術支援中心
您可透過線上客服信箱與我們連絡
企業用戶 - http://www.trendmicro.com.tw/SolutionBank/corporate/corp_mail.asp
個人用戶 - http://www.trendmicro.com.tw/solutionbank/consumer/Case_Fill.asp

技術細節:


這個木馬程式會產生下列檔案/元件:
‧ %Application Data%\~VBIH2DN.tmp
‧ %Application Data%\NC.exe
‧ %Current%\rarreg.key
‧ %Start Menu%\Programs\WinRAR\??B??Z RAR??BZIP ??+??S??L+??-Y++????????.LNK
‧ %User Temp%\bt48005.BAT
‧ %User Temp%\WinRAR.R
(備註: %Application Data%是目前使用者使用資料夾, 通常是在C:\Windows\Profiles\{user name}\Application Data , , C:\WINNT\Profiles\{user name}\Application Data, 和 C:\Documents and Settings\{user name}\Local Settings\Application Data, , %Current% 病毒都位於這個資料夾.%Start Menu% 是目前使用者的開始表單資料夾, 通常是在C:\Windows\Profiles\{user name}\Start Menu, , C:\WINNT\Profiles\{user name}\Start Menu, 和 C:\Windows\Start Menu 或 C:\Documents and Settings\{User name}\Start Menu, %User Temp% 是目前使用者的暫存資料夾, 通常是在C:\Documents and Settings\{user name}\Local Settings\Temp < Windows 2000, XP,以及 Server 2003.> )
它執行下列的檔案/元件:
‧ %System%\cmd.exe
‧ %System%\regsvr32.exe
‧ %Windows%\regedit.exe
‧ C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\NC.exe
(備註: %System% 是Windows系統的資料夾, 通常是在C:\Windows\System, , C:\WINNT\System32, , 或是 C:\Windows\System32, . %Windows% 是Windows資料夾, 通常是在C:\Windows 或 C:\WINNT. )

這個木馬程式會修改以下登入值,作為其安裝程序:
HKEY_CLASSES_ROOT\WinRAR
(Default) = "WinRAR ???"
(備註: 隱含值資料用於登錄值為壓縮檔。)
HKEY_CLASSES_ROOT\WinRAR.REV
(Default) = "RAR ?????"
(備註: 隱含值資料用於登錄值為RAR還原值.)
HKEY_CLASSES_ROOT\WinRAR.REV\shell\open\command
(Default) = "%Program Files%\WinRAR\WinRAR.exe" """
(備註: 隱含值資料用於登錄值為 "%Program Files%\WinRAR\WinRAR.exe" "%1".)
HKEY_CLASSES_ROOT\WinRAR.ZIP
(Default) = "WinRAR ZIP ???"
(備註: 隱含值資料用於登錄值為WinRAR ZIP 檔案)
HKEY_CLASSES_ROOT\WinRAR.ZIP\shell\open\command
(Default) = "%Program Files%\WinRAR\WinRAR.exe" """
(備註: 隱含值資料用於登錄值為 "%Program Files%\WinRAR\WinRAR.exe" "%1".)
HKEY_CLASSES_ROOT\WinRAR\shell\open\command
(Default) = "%Program Files%\WinRAR\WinRAR.exe" """
(備註: 隱含值資料用於登錄值為 "%Program Files%\WinRAR\WinRAR.exe" "%1".)
該木馬程式會顯示以下訊息:
Title: AN650-n????
Content: ...].w.{...u.b.+.`.. Windows XP ...s.t.+.W..++.+.B.....\.A.S+l...+...@+~.t.+.A.....@.X.(.=.O+-.F.B..+..+.A+-.@.....+.I
Title: Registry Editor
Content: Cannot import C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp.\WinRAR.R: Error accessing the registry.
它使用了以下字串符號,這可能與修改HOSTS檔案,下載,發送信息,以及其他可能的惡意程序有關:
‧ "EmailArcTo"=""
‧ .COM;.EXE;.BAT;.CMD
‧ .COM;.EXE;.BAT;.CMD;.VBS;.JS;.WS
‧ .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
‧ {BLOCKED}d.com
這個木馬程式會在 Windows 98, ME, NT, 2000, XP, Server 2003上執行.

 

此解決方案是否可解決您的問題?
:
注意! 此為諮詢百科收集建議使用, 系統不會提供任何回覆