撰文: Roland Marco Dela Paz   

 平台:

Windows 2000, Windows XP, Windows Server 2003

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :

  • 惡意程式類型:
    Trojan

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

它可能是使用者瀏覽惡意網站時於不知情的情況下所下載。

它使用類似那些合法應用程式的圖示以誘騙使用者點擊。

  詳細技術資訊

檔案大小: 30,720 bytes
記憶體常駐型:
首批樣本接收日期: 2010年12月30日

到達詳細資訊

它可能是使用者瀏覽惡意網站時於不知情的情況下所下載。

安裝

它會將本身的下列副本放置到受影響的系統:

  • %System%\usrinit.exe

(注意:%System% 是 Windows 系統資料夾,通常是 C:\Windows\System(Windows 98 和 ME)、C:\WINNT\System32(Windows NT 和 2000 或 C:\Windows\System32(Windows XP 和 Server 2003)。)

自動啟動技術

它會修改下列登錄項目,以確保其在每次系統啟動時自動執行:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe,%System%\usrinit.exe

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

傳播

它使用類似那些合法應用程式的圖示以誘騙使用者點擊。

  解決方案

最低掃瞄引擎: 8.900
第一個 VSAPI 病毒碼檔案: 7.768.10
第一個 VSAPI 病毒碼發行日期: 2011年1月14日
VSAPI OPR 病毒碼版本: 7.769.00
VSAPI OPR 病毒碼發行日期: 2011年1月14日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 2

此惡意程式使用 Rootkit 技術,因此使用標準和安全模式方法偵測和移除的方式可能無法將它徹底移除。此程序會使用「Windows 修復主控台」重新啟動系統。

  1. 將 Windows 安裝 CD 放入 CD 光碟機,然後按重新啟動按鈕。
  2. 出現提示時,按任一按鍵以從 CD 開機。
  3. 在主功能表中,輸入 r 以移至「修復主控台」。
  4. 輸入包含 Windows 的磁碟機(通常是 C:),然後按 Enter 鍵。
  5. 在輸入方塊中輸入下列命令,然後按 Enter 鍵:
    del %System%\usrinit.exe
  6. 輸入 exit,然後按 Enter 鍵以正常重新啟動系統。

Step 3

還原這個修改過的登錄值

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • From: Userinit = %System%\userinit.exe,%System%\usrinit.exe
      To: Userinit = %System%\userinit.exe,

Step 4

使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 TROJ_RANSOM.QOWA 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


說說您對安全威脅百科的想法