:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
病毒通告
分隔線
W32.Ramnit!dr 木馬透過瀏覽網站下載惡意程式進行感染,請勿開啟任何可疑的檔案並提高警覺!(2017/06/23)
 
詳細描述:

它會將本身的下列副本放置到受影響的系統並執行它們:
%UserProfile%Start MenuProgramsStartup[RANDOM CHARACTERS].exe
%UserProfile%[RANDOM CHARACTERS].log
%SystemDrive%Program Files[RANDOM CHARACTERS][RANDOM CHARACTERS].exe
%ProgramFiles%MNetwork
%CurrentFolder%[INFECTED FILE NAME]Srv.exe
%DriveLetter%autorun.inf
%SystemDrive%Documents and SettingsAll UsersApplication Data[EIGHT PSEUDO-RANDOM CHARACTERS].log
%UserProfile%Application Data[EIGHT PSEUDO-RANDOM CHARACTERS].exe
%UserProfile%Local SettingsTemp[EIGHT PSEUDO-RANDOM CHARACTERS].sys
%UserProfile%Local SettingsTemp[EIGHT PSEUDO-RANDOM CHARACTERS].exe
%SystemDrive%Documents and SettingsAll UsersApplication Data[RANDOM FILE NAME].log

檔案感染類型:
.exe
.dll
.htm
.html

在任何可移除裝置上創建以下文件:
%DriveLetter%RECYCLER[GUID][RANDOM CHARACTERS].exe
%DriveLetter%RECYCLER[GUID][RANDOM CHARACTERS].cpl
%DriveLetter%autorun.inf
%DriveLetter%Copy of Shortcut to (1).lnk
%DriveLetter%Copy of Shortcut to (2).lnk
%DriveLetter%Copy of Shortcut to (3).lnk
%DriveLetter%Copy of Shortcut to (4).lnk

遠端利用以下漏洞:
Microsoft Windows快捷方式“LNK / PIF”文件自動文件執行漏洞(CVE-2010-2568)
Oracle Java SE遠程執行代碼漏洞(CVE-2013-1493)
Oracle Java運行時環境多個遠程執行代碼漏洞(CVE-2013-0422)

新增下列登錄機碼與登錄項目:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsmpeng.exe “Debugger” = ‘svchost.exe’
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsseces.exe “Debugger” = ‘svchost.exe’
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallW32.Ramnit!dr
HKEY_LOCAL_MACHINESOFTWARE
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings “WarnOnHTTPSToHTTPRedirect” = ’0′
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet Settings “WarnOnHTTPSToHTTPRedirect” = ’0′
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRestore “DisableSR ” = ’1′
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsekrn.exe “Debugger” = ‘svchost.exe’
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsascui.exe “Debugger” = ‘svchost.exe’
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “3948550101?
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “xas”
HKEY_CURRENT_USERSoftwareW32.Ramnit!dr

在受感染的電腦上打開後門,允許其接收大約包括以下內容:
1.上傳Cookie
2.收集機敏資訊
3.截圖

HiNet SOC 建議您勿瀏覽可疑或惡意網站以及開啟任何可疑的檔案或郵件,定期備份重要檔案,為應用軟體和作業系統安裝修補程式,將其更新至最新版本,與安裝防毒軟體且更新至最新病毒碼來降低受駭風險。

 
受影響系統:
  • Windows
 
解決辦法:

若不慎已感染此病毒,建議處理方式如下:

1、刪除及修復登錄機碼與登錄項目
2、刪除可疑的檔案
3、請更新防毒軟體之病毒碼定義檔到最新
4、請利用防毒軟體進行全系統掃描
5、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
  • Symantec

  •  
     
    下框