撰文: Jimelle Monteser   

 :

MSIL/Filecoder.D trojan (NOD32)

 平台:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Worm

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

感染管道: 從互聯網上下載

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

  詳細技術資訊

檔案大小: 979,456 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2013年12月21日

安裝

它會將本身的下列副本放置到受影響的系統並執行它們:

  • %System%\msunet.exe

(注意:%System% 是 Windows 系統資料夾,通常是 C:\Windows\System(Windows 98 和 ME)、C:\WINNT\System32(Windows NT 和 2000 或 C:\Windows\System32(Windows XP 和 Server 2003)。)

自動啟動技術

它會新增下列登錄項目,使其在每次系統啟動時自動執行:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
MSUpdate = "%System%\msunet.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*MSUpdate = "%System%\msunet.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
MSUpdate = "%System%\msunet.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*MSUpdate = "%System%\msunet.exe"

它會修改下列項目,讓自己在安全模式下執行:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe, %System%\msunet.exe"

(Note: The default value data of the said registry entry is %System%\userinit.exe.)

其他系統修改

它會新增下列登錄機碼:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\policies\
Explorer

它會新增下列登錄項目:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\policies\
Explorer
NoDriveTypeAutoRun = "91"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\policies\
Explorer
NoDriveAutoRun = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoDriveAutoRun = "0"

傳播

它會在所有卸除式磁碟機中放置本身的下列副本:

  • {Removable Drive Letter}:\setup.exe
  • {Removable Drive Letter}:\{Filename}.exe - if executable files exist

  解決方案

最低掃瞄引擎: 9.700
第一個 VSAPI 病毒碼檔案: 10.486.05
第一個 VSAPI 病毒碼發行日期: 2013年12月21日
VSAPI OPR 病毒碼版本: 10.487.00
VSAPI OPR 病毒碼發行日期: 2013年12月22日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 2

重新啟動至安全模式

[ 學到更多 ]

Step 3

刪除此登錄機碼

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
    • RunOnce
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies
    • Explorer
336.2

如果要刪除此惡意程式/可能的資安威脅程式/間諜程式建立的登錄機碼,請執行下列動作:

  1. 開啟「登錄編輯程式」。如果要執行此動作,請按一下「開始∣執行」,在提供的文字方塊中輸入 regedit,然後按 Enter 鍵。
  2. 在「登錄編輯程式」視窗左邊的窗格中,按兩下下列登錄機碼:
    DATA_GENERIC_KEY
  3. 繼續在左邊的窗格中尋找並刪除下列機碼:
    DATA_GENERIC_KEYDEL
  4. 關閉「登錄編輯程式」。

Step 4

刪除此登錄值

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • MSUpdate = "%System%\msunet.exe"
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • MSUpdate = "%System%\msunet.exe"
  • In HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • *MSUpdate = "%System%\msunet.exe"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • NoDriveAutoRun = "0"

Step 5

重新啟動至標準模式,並使用您的趨勢科技產品掃瞄電腦是否有偵測到如 WORM_CRILOCK.A 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


說說您對安全威脅百科的想法