【求助】才裝機就中W32.HLLW.Gaobot.gen



贊助商連結


chao0707
2004-06-11, 09:36 AM
以光碟開機重建分割後安裝Win2000Server
然後裝上Norton anti-virus 企業版8.0
接著以光碟安裝無線網卡驅動程式
然後上網更新病毒碼
接下來開IE預備更新Windows Update
然後Norton 就告訴我中W32.HLLW.Gaobot.gen了
我確定我除了安裝OS的硬碟之外沒有任何其他儲存設備
也沒有其他的電腦
而中毒的電腦也在IP分享器之後
怎麼想都想不出到底是什麼漏洞會讓剛裝好的電腦就中毒
曾經參考http://securityresponse1.symantec.com/sarc/sarc-tw.nsf/html/tw-w32.hllw.gaobot.gen.html

不論是登錄值或是移除工具都找不到問題
但是Norton 本身是找的到gaobot的
且僅可在SafeMode中移除
可是移除gaobot後電腦仍會不定時到數讀秒關機
請幫幫我..

贊助商連結


ivantw
2004-06-11, 10:37 AM
步驟有誤,請參考以下連結: http://www.pczone.com.tw/showthread.php?t=123608

chao0707
2004-06-11, 12:32 PM
最初由 Ivan Lin 發表
步驟有誤,請參考以下連結: http://www.pczone.com.tw/showthread.php?t=123608

感謝Ivan大大這麼快就回覆
我會參考該討論串的做法回去實做

只是難以理解的是
病毒到底是什麼時機點切入的
疾風的排除程序適用嗎....

現在嚴重懷疑是來源已忘記的母片....

ivantw
2004-06-11, 01:40 PM
洞在這裡! :D

引述自:http://securityresponse1.symantec.com/sarc/sarc-tw.nsf/html/tw-w32.hllw.gaobot.gen.html
容易猜測的網路共用資料夾密碼
使用 TCP 埠號 135 和 445 來探測DCOM RPC 弱點(如 Microsoft Security Bulletin MS03-026 所述)
使用 TCP 埠號 80 來探測 WebDav 弱點 (如 Microsoft Security Bulletin MS03-007 所述)

先安裝防毒軟體是沒用的,蠕蟲依然可以透過作業系統漏洞進行感染。

所以在你接上網路線連上網路線,到你完成Windows更新前的這段空窗期,正是蠕蟲感染你的好時機。

所以最正確的做法,應該是在重新安裝電腦前,就先下載 M$ Service Pack & Patch 並作備份,以待安裝完成後可以在不需連上網路的狀態下,更新 Service Pack & Patch ,這部分更新完成後,再安裝好防毒軟體,然後才可以連上網路,做好病毒碼更新,至於其他細節部分,可以參考上篇連結內 Schnaufer 所給的補充。

至於我,有加裝IP分享器,可以避免掉大部分的蠕蟲與駭客攻擊,所以可以氣定神閒的安裝好 Windows 後,再慢慢連上網路作更新。要不要也買一台啊? :D

當然了,使用者本身習慣好壞也是很重要的一環,雖然IP分享器可以保障一定的安全性,可是要是使用者本身沒有警戒心,或是習慣太差(可以參考本篇 (http://www.pczone.com.tw/showthread.php?t=123934))那不管多好的系統,依然是會有被攻擊感染的危險的。

chao0707
2004-06-14, 09:43 AM
Ivan 兄

找到原因了
原來是自己豬腦袋
DMZ忘記關掉
結果等於門戶大開
給駭客玩好玩的
再重灌後已不會發生問題了

再次感謝你的熱心協助..