前一陣子台灣多家中小企業遭受大量的TSPY_MARAN變種病毒攻擊,TSPY_MARAN是具有特洛伊木馬特性的間諜程式,目前台灣有多種變種大量散播,病毒利用HTTP的方式植入用戶電腦,在Windows資料夾下產生avp.exe的病毒檔案,且在System資料夾下產生od*media.dll(*通常為1-9亂數變換),該病毒會修改系統的LSP,造成受感染的電腦無法上網。此惡意程式主要竊取下列遊戲或即時通的帳號: - Gamania (遊戲橘子)
- Ragnarok (仙境傳說)
- Rohan (洛汗)
- Yahoo! Messenger (奇摩即時通)
解決方案:
更新至最新的病毒碼與DCT可偵測並清除此類型的病毒,但是由於該病毒會修改LSP的部份,清除病毒後必須修正LSP才能正常上網,如何修正LSP請參考下面該則解決方案:
http://esupport.trendmicro.com/support/viewxml.do?ContentID=en-122496 。
或是下載FixLSP工具
http://www.cexx.org/lspfix.htm
此工具可協助修正LSP
使用方式﹕ - 下載lspfix.exe到任一目錄下
- 執行lspfix.exe後會出現如下圖
- 在左側的部份找到病毒的dll檔od*media.dll(*通常為1-9亂數變換),並按下 ">>" ,該檔案會移到右邊的視窗
點選(Finish)即可修復LSP 預防方式:
可使用OfficeScan的病毒爆發防範禁止avp.exe與autorun.inf檔案寫入系統,該病毒會利用usb隨身碟自動播放功能,自動連結至Internet下載病毒檔案,防止autorun.inf檔案寫入只會無法自動播放,仍可以存取隨身碟內的檔案,不會影響一般操作。如何設定OfficeScan病毒爆發防範請參考 上期技術通報,或是修改系統設定來關閉隨身碟自動播放的功能,有下列幾種方式提供參考﹕ - 當隨身碟插入電腦時,一直按著「Shift」鍵,直到系統已經連結此隨身碟 (作業系統將不會執行 autorun.inf 的內容)。
- 修改登錄機碼,找
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\PoliciesExplorer,和
HKEY_USERS\DEFAULT\Software\Microsoft\WindowsCurrent\Version\PoliciesExplorer,將NoDriveTypeAutoRun的值設都改為0x00000095,然後,重新開機,這樣就可以停用 Autorun 了。 - 利用群組原則嵌入式管理單元 (gpedit.msc)。[本機電腦]->[開始]->[執行]->[在開啟欄中輸入 gpedit.msc],然後,參考下圖,設定完成後,重新開機。
| 
沒有留言:
張貼留言