【病毒資訊】近期發現Trojan-PSW.Win32.Delf(隨身碟)變種病毒,相關解毒及預防措施請見本文。
今年發現大量以USB隨身碟為傳播媒介的Trojan-PSW.Win32.Delf.SL病毒,近期又有其變種病毒產生,請各單位留意。
病毒名稱:Trojan-PSW.Win32.Delf
病毒特性:此病毒為一木馬型病毒,可竊取電腦上之帳號、密碼,傳送給外部駭客。其傳播途徑是透過USB大量儲存裝置(如:隨身碟、隨身硬碟、數位相機之記憶卡、數位錄音筆、MP3隨身聽‧‧‧等)傳播,當中毒之裝置插入未中毒之電腦時,若直接點選兩下開啟該磁碟區,即將病毒複製至電腦,並常駐執行,感染其它隨身碟及硬碟磁區(除了系統區C:\外)。
病毒徵兆:此病毒將會使電腦部分功能失效,如:嘗試連線到C:\Windows\System\@#$%.htm;無法開啟作業系統內建之網路防火牆;無法卸除隨身碟(燈號一直閃動);系統執行效能降低;NOD32掃毒系統出現「Autorun.inf」中毒警示,但無法點選「刪除」鈕或關閉後仍持續出現‧‧‧等。
影響系統:Windows 98, ME, NT, 2000, XP, 2003, Vista
處理方式、步驟:
一、自動解毒程式(此為新版2007/7/15解毒程式,非1月所發佈的)
電算中心已製作病毒移除程式,以簡化許多繁雜的解毒步驟
1.將附加檔案「Trojan-PSW_Win32_Delf_sl_Remover_v2.exe」下載至桌面。
2.執行桌面之「Trojan-PSW_Win32_Delf_sl_Remover_v2.exe」程式,開始解毒程序。
3.解毒完成後,請重新開機,檢查相關功能是否正常。需檢查項目請見【三、檢查系統狀態】〞一節之敘述。
4.依【二、防範之道】步驟繼續進行。
5.使用NOD32軟體,點選「深入分析」功能進行全系統掃瞄。
二、防範之道:
1.針對此次之病毒,可在未知狀況之隨身碟插入時,執行電算中心提供的「病毒移除程式」,執行後再點選該隨身碟之磁碟機代號,存取檔案。
2.來路不明之信件或不明之附加檔案,皆不要開啟。
3.常到http://windowsupdate.microsoft.com更新修補程式,建議一月一次。
3-1.若出現安全性警告,請選「是」,並稍候。
3-2.點「掃瞄更新項目」。(Windows 98、2000)或「自訂安裝」。(Windows XP、2003、Vista)
3-3.點左下方之「檢閱並安裝重大更新」。(Windows 98、2000)、檢視高優先順序的更新(Windows XP、2003、Vista)
3-4.點右方之「立即安裝」鈕。
3-5.授權合約閱讀後按「接受」。
3-6.將自動下載並安裝更新程式。
3-7.安裝完成將重新開機。
3-8.請重覆步驟1~7,直到步驟3之重大更新與Service Pack(或「檢視高優先順序的更新」)旁顯示0為止。
4.更新病毒碼。
4-1.應定時檢查防毒軟體是否有更新至最新版,若要確認電腦是否為最新病毒碼依下列步驟執行。
4-2.點一下右下角工作列上的NOD32圖示(白綠相間圖樣)。
4-3.展開左方欄之「更新」項目,再點選一下「更新」功能。
4-4.將「自動更新」勾選之,並點選「立即更新」鈕,以立即取得最新病毒定義檔。
三、檢查系統狀態:
使用者可由下列步驟檢查系統是否已遭此病毒襲擊
1.檢查檔案總管之顯示隱藏目錄功能是否可勾選
1-1.開啟檔案總管,點選「工具」→「資料夾選項」。
1-2.點選「檢視」頁籤,點選下方之「顯示所有檔案和資料夾」。
1-3.點選「確定」鈕。
1-4.再點選「工具」→「資料夾選項」。
1-5.檢視下方之「顯示所有檔案和資料夾」是否為選取狀態,若跳回「不顯示隱藏的檔案和資料夾」,則表示病毒存在,請執行一~二次病毒移除程式,若仍無法移除,則可能為新型變種病毒。
2.檢查是否有病毒之處理程序
2-1.點選「開始」→「執行」。
2-2.輸入「taskmgr」,按下確定。
2-3.點選「處理程序」頁籤,將下方之「顯示來自所有使用者的處理程序」勾選。
2-4.檢查「影像名稱」中是否有下列名稱之一:「tjujwu.exe」、「SVOHOST.exe」、「SVCHOST.exe,但〝使用者名稱〞一欄,非〝System〞者」、「aqionl.exe」、「rsseek.exe」、「wicvdw.exe」、「bqlaql.exe」、「lhtefx.exe」。
2-5.若有2-4所述之一的名稱,表示病毒存在,請執行一~二次病毒移除程式,若仍無法移除,則可能為新型變種病毒。
3.觀察系統是否會不定期跳出Internet Explorer,瀏覽不明網站。
4.檢查網路防火牆是否可啟動(Windows XP / 2003 / Vista Only)
4-1.點選「開始」→「設定」→「網路連線」(或點選「開始」→「控制台」,進入「網路和網際網路連線」,再進入「網路連線」)。
4-2.點按兩下網路介面卡(如「區域連線」),點選「內容」。
4-3.點選「進階」頁籤,再點選「設定值」鈕。
4-4.確認「開啟」是否已點選,若未點選,點選之。
4-5.按「確定」鈕。
4-6.再點選「設定值」鈕。
4-7.檢查「開啟」項目是否已點選,若仍為「關閉」,表示病毒存在,請執行一~二次病毒移除程式,若仍無法移除,則可能為新型變種病毒。
5.未對隨身碟進行存取(複製檔案或打開檔案編輯),指示燈號仍不斷閃爍。
相關資訊:
... |