撰文: Christopher Daniel So   

 平台:

Windows 2000, Windows XP, Windows Server 2003

 整體風險評比:
 報告感染 :
 系統影響評比:
 資訊暴露評比:

  • 惡意程式類型:
    Adware

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

感染管道: 下降了其他惡意軟件, 從互聯網上下載

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

然後它會執行所下載的檔案。如此,所下載檔案的惡意常式便會在受影響的系統上顯示。

  詳細技術資訊

檔案大小: 不定
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2011年9月19日

安裝

它會放置下列檔案:

  • {malware path}\user_config.cyp
  • {malware path}\user_profil.cyp

它會建立下列資料夾:

  • {malware path}\Download
  • {malware path}\Software

其他系統修改

它會新增下列登錄機碼:

HKEY_CURRENT_USER\Software\EoRezo

HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo

它會新增下列登錄項目:

HKEY_CURRENT_USER\Software\EoRezo\
SoftwareUpdate
MainDir = "{malware path}"

HKEY_CURRENT_USER\Software\EoRezo\
SoftwareUpdate
Version = "1.5.0.0"

HKEY_CURRENT_USER\Software\EoRezo\
SoftwareUpdate
SoftwareDir = "{malware path}\Software"

HKEY_CURRENT_USER\Software\EoRezo\
SoftwareUpdate
DownloadDir = "{malware path}\Download"

HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo
HostGUID = "{random GUID}"

下載程序

它會存取下列網站以下載檔案:

  • http://{BLOCKED}es.{BLOCKED}zo.com/clib/suf.exe?{random string}

它使用下列名稱儲存下載的檔案:

  • {malware path}\Download\sufr\4.0.0.{random number}\suf.exe
  • {malware path}\Software\sufr\4.0.0.{random number}\suf.exe

趨勢科技偵測到下載的檔案為:

  • ADW_EOREZO

然後它會執行所下載的檔案。如此,所下載檔案的惡意常式便會在受影響的系統上顯示。

  解決方案

最低掃瞄引擎: 9.200
間諜程式病毒碼檔案: 1.269.00
間諜程式病毒碼發行日期: 2012年3月6日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 2

關閉所有開啟的瀏覽器視窗

Step 3

刪除此登錄機碼

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

  • In HKEY_CURRENT_USER\Software
    • EoRezo
  • In HKEY_LOCAL_MACHINE\SOFTWARE
    • EoRezo
336.2

如果要刪除此惡意程式/可能的資安威脅程式/間諜程式建立的登錄機碼,請執行下列動作:

  1. 開啟「登錄編輯程式」。如果要執行此動作,請按一下「開始∣執行」,在提供的文字方塊中輸入 regedit,然後按 Enter 鍵。
  2. 在「登錄編輯程式」視窗左邊的窗格中,按兩下下列登錄機碼:
    DATA_GENERIC_KEY
  3. 繼續在左邊的窗格中尋找並刪除下列機碼:
    DATA_GENERIC_KEYDEL
  4. 關閉「登錄編輯程式」。

Step 4

搜尋並刪除這些檔案

[ 學到更多 ]
有些可能是隱藏的元件檔案。請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的檔案和資料夾。
  • {malware path}\user_config.cyp
  • {malware path}\user_profil.cyp

Step 5

搜尋並刪除這些資料夾

[ 學到更多 ]
請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的資料夾。
  • {malware path}\Download
  • {malware path}\Software

Step 6

使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 ADW_EOREZO 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


說說您對安全威脅百科的想法