撰文: Roland Marco Dela Paz   

 平台:

Windows 2000, Windows XP, Windows Server 2003

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :

  • 惡意程式類型:
    Trojan

  • 具破壞性:

  • 被加密:
     

  • In the wild:

  總覽與描述

感染管道: 下降了其他惡意軟件, 從互聯網上下載

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

  詳細技術資訊

檔案大小: 不定
檔案類型: DLL
記憶體常駐型:
首批樣本接收日期: 2012年6月28日

安裝

它會放置下列元件檔案:

  • %System Root%\Documents and Settings\All Users\Application Data\{reversed filename}.pad

(注意:%System Root% 是根資料夾,通常是 C:\。這也是作業系統所在的位置。)

自動啟動技術

它會將下列檔案放置到 Windows User Startup 資料夾,以使其可在每次系統啟動時自動執行:

  • %User Startup%\ctfmon.lnk

(注意:%User Startup% 是目前使用者的「啟動」資料夾,通常是 C:\Windows\Profiles\{user name}\「開始」功能表\程式集\啟動(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\「開始」功能表\程式集\啟動 (Windows NT),以及 C:\Documents and Settings\{User name}\「開始」功能表\程式集\啟動。)

其他系統修改

它會新增下列登錄項目:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
NoProtectedModeBanner = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\0
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
2500 = "3"

它會修改下列登錄項目:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\0
1609 = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1609 = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
1609 = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1609 = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
1609 = "0"

(Note: The default value data of the said registry entry is 1.)

  解決方案

最低掃瞄引擎: 9.200
第一個 VSAPI 病毒碼檔案: 9.232.06
第一個 VSAPI 病毒碼發行日期: 2012年7月3日
VSAPI OPR 病毒碼版本: 9.233.00
VSAPI OPR 病毒碼發行日期: 2012年7月4日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 2

重新啟動至安全模式

[ 學到更多 ]

Step 3

刪除此登錄值

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    • NoProtectedModeBanner = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
    • 2500 = "3"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • 2500 = "3"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
    • 2500 = "3"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • 2500 = "3"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
    • 2500 = "3"

Step 4

還原這個修改過的登錄值

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
    • From: 1609 = "0"
      To: 1609 = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
    • From: 1609 = "0"
      To: 1609 = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
    • From: 1609 = "0"
      To: 1609 = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
    • From: 1609 = "0"
      To: 1609 = "1"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
    • From: 1609 = "0"
      To: 1609 = "1"

Step 5

搜尋並刪除這些檔案

[ 學到更多 ]
有些可能是隱藏的元件檔案。請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的檔案和資料夾。
  • %User Startup%\ctfmon.lnk
  • %System Root%\Documents and Settings\All Users\Application Data\{reversed file name}.pad

Step 6

重新啟動至標準模式,並使用您的趨勢科技產品掃瞄電腦是否有偵測到如 TROJ_RANSOM.SMAC 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


說說您對安全威脅百科的想法