2008-05-30 利用BID 29386漏洞的 Downloader.Swif.C木馬
病毒型態: 木馬
影響平台: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
概述: Downloader.Swif.C 利用BID 29386漏洞下載其它惡意程式的木馬。
說明:
當 Downloader.Swif.C 執行時,會產生下列動作:
1.當使用Flash Player開啟蓄意製作的SWF檔案時,會將使用者導向至下列位置:
[http://]www.play0nlnie.com/pcd/topics/ff11us/2008031[REMOVED]/
[FLASH VERSION STRING][BROWSER].swf
註:上述網址依瀏覽器而定:
ie (in the case of Internet Explorer)
ff (in the case of Firefox)
2.並利用 Adobe Flash Player SWF File Unspecified Remote Code
Execution Vulnerability漏洞。(BID 29386)。
3.從下列位置下載惡意程式:
[http://]www.play0nlnie.com/ax.[REMOVED]
4.下載後儲存成下列檔案並執行:
%Temp%\orz.exe
註:下載的檔案為Trojan Horse。
解決方案:
1.暫時關閉系統還原功能 (Windows Me/XP)
系統還原功能能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。
系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改
系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾
中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。
關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁:
關閉Windows Me還原功能
關閉Windows XP還原功能
2.更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克
趨勢科技
3.執行全系統掃描
(a)執行防毒軟體,並設定為執行全系統掃描
(b)如果偵測到病毒,則採取防毒軟體所建議的步驟
參考資料:
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-052714-3021-99
BID 29386
Trojan Horse
資料來源:賽門鐵克公司
資料出處:http://www.icst.org.tw/content/application/icst2005/a1001001100110011/guest-cnt-browse.php?var=0%2C1001%2C106%2C1001001100030002%2C3328%2Cplan&cntgrpbrowsevar=PageSize%3D20%26Page%3D1%26isShowQueryForm%3Dno
沒有留言:
張貼留言