« 上一篇 | 下一篇»

注意夾帶.com附檔的信件

02 十二月, 2006 23:50 •  (116) 迴響  •  引用(0)  •  45026 hit.  • 分類: 防毒&病毒   

前一陣子,收到一位以前的同事寄來的信件,信件標題為「阿兵哥笑話(看完後心情愉快哦!)」,笑話內容只說了一半,剛剛Google一下這標題,還蠻多人將笑話內容貼在網路上的,可能這信件最近蠻多人在轉寄的吧!

不過,重點不是笑話內容,而是這信件裡夾帶了兩個 .com 的附檔,這一看,就知道非常可能是病毒信件,所以也沒在意,直接就把它刪了。

上星期,又收到同一個朋友又再度寄了這信件過來,所以,我就回了封信給這位同事,告知他電腦可能中毒了。 

昨天收到西屯于大姊的信件,也是提到有一堆人都收到了類似的信件。

所以,我當然要來試試看這是怎樣的病毒呢? 

怎麼試?執行它就對了呀!

執行這.com的檔案後,會跑出記事本,裡頭有完整的笑話內容,就這樣而已嗎?當然不是了。

前一陣子解了4、5台學校及同事電腦裡的病毒,特徵大概是電腦執行速度變慢、上網很慢、電腦一下子就重新開機等。解決方式大概是執行regedit,將登錄檔裡的一些資料刪除掉,再將電腦裡一些多出來的檔案svchost.exe、PDLL.dll....(忘了)刪除掉,大概就OK了。這次這病毒,大概也是類似的解決方式。

Google一下 ,這病毒名稱在趨勢叫做「TSPY_LINEAGE.BYE」,在卡巴斯基叫做「Trojan-PSW.Win32.Delf.te」。我記得在7、8個月前,學校就有台電腦中過這毒,特徵跟現在的有些不同。

星期五用學校的電腦執行那.com的檔案,不過Offiescan沒把它攔下來,在家裡執行那.com,卡巴斯基就它擋下來了(卡巴勝出太可笑嘍)。 

OK!講了一堆廢話,現在來說重點吧!

怎麼把這病毒刪除掉呢? (個人經驗,不一定完全正確喔!)

(操作環境:Windows XP)

1.按下開始 / 執行/ 輸入 regedit

2.出現「登錄編輯程式」的視窗



找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

再找到「Userinit」這名稱,滑鼠點擊兩下,將它的值最後面多出來的「c:\Program......\svchost.exe」刪除掉。
並改回成
C:\WINDOWS\system32\userinit.exe,」(注意最後面要有逗號「,」)

3.重新開機

(若不重開機,無法刪除底下的兩個檔案)

4.將底下兩個檔案刪除

  • C:\WINDOWS\system32\PDLL.dll
  • C:\Program Files\Windows Media Player\svchost.exe

 

應該是這樣就完成了。

那這病毒到底會有什麼影響呢?根據趨勢trend的說明

Information Theft

This spyware monitors the Internet Explorer (IE) activities of an affected user. It steals account-related information, such as user names and passwords, from the online game Lineage. It does the said routine by logging keystrokes when users access particular URLs related to the said game.

It then saves the gathered information in a certain text file, which it sends to a predetermined email address using its own Simple Mail Transfer Protocol (SMTP) engine.

應該就是偷IE裡的帳號、密碼吧!

這讓我想到朋友寄來的那封信,裡頭還有一堆她通訊錄裡的收件人,看起來應該不是假造的信件,我猜測可能是有人偷了她yahoo信箱的帳號及密碼,再以她的帳密登入後,再寄出這病毒信。

建議有中毒的人,殺完毒後,趕快去改改信箱的密碼吧!

12/4日補充


前面說過之前幫幾台電腦解過毒,那些中毒的電腦跟這個.com附檔的徵狀有些些不同。

首先,怎麼看你的電腦是否中了這類型的毒呢? 

你可以開啟檔案總管,連到c:\windows\system32下面, 切換檢視模式為「詳細資料」,按下「修改日期」讓最新變動過的檔案排在最前面。

看看你這台電腦剛剛開機的時間,是否有一些PDLL.dll、hhyy.dll 等 dll 的檔案,假如有,那就恭喜你中獎了。

假如有這些東西,請執行 regedit,找到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run



上面Run裡頭的登錄檔,就是你一開機時會載入執行的程式,看看有沒有一些奇怪的東西。你一定會問,什麼是奇怪的東西呀?這我實在很難回答,因為之前解毒後並沒有把那些資料紀錄起來。
(951208更新:大概就像上圖中黃色的部分)

大概看一下Run上面是不是有一些執行檔,印象中在上圖的「名稱」裡有一些PDLL.dll、hhyy.dll...等,它們在「資料」裡的位置為

  • c:\windows\config\svchost.exe
  • c:\windows\download\svchost.exe
  • c:\windows\rundll32.exe
上面svchost.exe及rundll32.exe的正確位置是在c:\windows\system32裡。假如你在你的 Run 裡看到這些,請把他們刪除,另外若有看到出現亂碼的,建議也把他們刪除掉(請記得事先備份一下)

再重新開機。

開完機後,再去將上面多餘的svchost.exe、rundll32.exe等檔案及c:\windows\susyem32裡的一些PDLL.dll、hhyy.dll等刪除掉(若無法刪除,出現檔案正在使用中的訊息,大概表示你的Run登錄檔裡的資料未清除乾淨)。

大概就是這樣吧!若下次有碰到重這些毒的檔案,我再來詳細記錄一下。 

創用 CC 授權條款
 
 
Related Posts Plugin for WordPress, Blogger...

116 Comments on "注意夾帶.com附檔的信件"

 

1 2 3 4 5 6  下一篇»
發表迴響
 authimage

Google+ 迴響

*********