透過Skype傳播的病毒 - PCZONE 討論區

返回   PCZONE 討論區 > ▲ ADSL_CABLE_FTTH 寬 頻 上 網 討 論 > -- 防 駭 / 防 毒 版


PCZONE 討論區



通知

-- 防 駭 / 防 毒 版 不論你是使用固定 IP 或是 DHCP 一定都有機會被無聊的駭客入侵 , 來這裡跟大家作防駭以及防毒的心得與資訊分享。

無女友的人生34年
透過Skype傳播的病毒
今下午敝公司有一堆人中了這個毒, 是打開了skype上連絡人傳的檔案或網址後發生的. 檔案icon偽裝成圖檔, 但實際上是個.scr檔(scrrensaver)

症狀是:
[1]會執行 wndriv32.exe, 殺了以後仍會再起.
[2]skype會不能正常使用(視窗打不開也無法設狀態, 要用工作管理員強制殺掉)
[3]工作管理員及regedit會無法開啟(開啟後被關掉)
[4]會寫入一堆防毒公司網址及對應ip到 host 檔案內, 企圖讓病毒碼更新失敗.

skype官網論壇上的討論:
http://forum.skype.com/index.php?sho...6598&hl=wndriv
http://forum.skype.com/index.php?sho...6573&hl=wndriv

VirusTotal上測試的結果:
http://www.virustotal.com/resultado....44affb10691713

另外附上已壓縮加密碼(pczone)的病毒檔, 請小心使用...


上傳的附加檔案
檔案類型: zip dsc027.zip (151.3 KB, 187 次觀看)

此篇文章於 2007-09-10 05:19 PM 被 ellery 編輯。.
回覆
會員
回覆: 透過Skype傳播的病毒
真想哭~~~一堆人感染了~~~
回覆
無女友的人生34年
回覆: 透過Skype傳播的病毒
這個毒害我不能準時下班回去看《烏龍派出所》
可惡可惡!
回覆
會員
回覆: 透過Skype傳播的病毒
一定是看我太閒了
閒閒沒事~~~
回覆
無女友的人生34年
回覆: 透過Skype傳播的病毒
卡巴已回覆:

您好

卡巴斯基可偵測此檔案為病毒 : 病毒 Worm.Win32.Skipi.c ( 2007/09/10 17:46 資料庫 )

請更新病毒碼 並進行掃描


回覆
進階會員
回覆: 透過Skype傳播的病毒
看來明天要關閉一下skype 全公司 掃毒一下囉~
回覆
無女友的人生34年
回覆: 透過Skype傳播的病毒
http://taiwan.cnet.com/news/software...0123487,00.htm

新變種蠕蟲綁架Skype、關閉防毒軟體

記者馬培治/台北報導  10/09/2007

即時通訊與VoIP軟體Skype今(10)天傳出遭蠕蟲攻擊事件,受感染用戶無法使用該軟體、防毒軟體也會被關閉,Skype表示正積極處理中。

近幾個月以來在Windows Live Messenger(MSN)使用者間傳佈、以相片作為誘餌的病毒疑似出現Skype版本。Skype台灣區總代理PChome Online今表示陸續接獲用戶與內部使用者發出疑似Skype病毒的通報指出,在收到Skype連絡人傳來的連結,點擊並下載、執行該連結指向的圖片檔後,便會發生Skype被強制停留在「勿打擾」狀態,無法更動、使用的狀況,且會持續送出該惡意連結給其他連絡人,「如同把Skype綁架,」 PChome Online行銷處總監曾薰儀說。

不過由於攻擊是今天早上才被發現並通報,包括Skype、資安廠商都未能提出損害估計以及解決之道。

資安業者初步分析,該病毒除了會鎖住Skype並持續散佈之外,還會關閉防毒軟體的自動防護功能,降低電腦的安全性。趨勢科技技術顧問簡勝財表示,該公司今天收到多間客戶回報此一威脅,目前已將樣本後送至分析單位處理,詳細結果尚未出爐,但表示將依該公司病毒碼釋出的流程作業,最快今晚,慢則明天便應會有新病毒碼釋出。

根據使用者在Skype官方討論區的留言與Skype的整理,已發現的惡意連結多半還會配合如「Where I put your photo. (這是我存放你照片的地方)」、「oh sry not for you(抱歉不是給你的)」等社交工程內容,吸引使用者點選並下載一偽裝成jpg格式圖檔的惡意程式。

PChome Online目前初步懷疑此惡意程式是早前蠕蟲的新變種再次爆發,曾薰儀表示,已在本地官方網站上警告使用者勿開啟相關連結,並將相關訊息彙整送交Skype總公司,尋找解決之道。

去(2006)年底,資安廠商Websense與CA相繼發現透過Skype傳佈的蠕蟲與木馬程式,同樣也是透過要求使用者下載、執行特定檔案的方式散怖。

不過資安業者對此一今天才被陸續通報的新威脅表示仍在分析中,簡勝財便說,分析結果尚未公佈,究竟此次爆發的感染源是Skype舊蠕蟲或MSN病毒的變種、還是新種惡意程式,尚難斷言,但他呼籲使用者不論狀況為何,都不應點選任何不明連結。

對於蠕蟲影響狀況,PChome表示尚難評估。不過包括Skype英文官方網站討論區、PChome維運的台灣官網討論區,乃至BBS站PTT等,都已陸續有使用者通報中毒或留言討論此一事件。甚至Pchome內部亦有部分員工電腦中了該蠕蟲,其中還包括台灣地區Skype負責人、PChome Online通訊應用服務部副總經理羅子亮的Skype帳號,也一度對外發出惡意連結。

Skype目前台灣地區共有約600萬名免費用戶,包括60萬SkypeOut付費用戶。
回覆
會員
回覆: 透過Skype傳播的病毒
賽門鐵克認定為W32.Pykspa.D.
回覆
花非花
回覆: 透過Skype傳播的病毒
好多人都去點那個連結
結果都中了
好高興~~~~
剛好趁這次進行機會教育
回覆
進階會員
回覆: 透過Skype傳播的病毒
skype官方討論區公佈解毒方式
來源網址:http://vas.skype.pchome.com.tw/forum...cId=4772<br />
引用:
親愛的用戶,您好:

Skype 已經得知有一個名為 “w32/Ramex.A” 的電腦病毒會對 Windows 版本的 Skype 造成影響。遭到感染的電腦,會自動對其他的 Skype 用戶發出 Skype 聊天室文字訊息,其中包含一個網址,而這段訊息會要求用戶點擊該連結。請注意:除非 Skype 用戶下載該網址連結的程式,並執行這個惡意軟體,否則不會受到病毒感染。至於這段文字訊息,已知有好幾種版本,非常狡猾地以看似親切的日常對話,企圖誘使用戶在不經意之下點擊其中的連結。

Skype 已經聯繫了主要的防毒軟體公司,通報這隻蠕蟲,而我們也得知他們正在更新他們的軟體,以便能有效地遏止這隻病毒肆虐。到目前為止,F-Secure (www.fsecure.com) 以及卡巴斯基實驗室 (www.kaspersky.com) 都已經更新了他們的防毒產品,可以偵測並移除這隻蠕蟲程式。

在這裡建議各位用戶先確認您的防毒軟體是否仍能正常運作。並請持續下載最新的防毒更新檔、執行防毒、掃毒等指令,即可避免受到這個病毒或是其他惡意軟體的騷擾。

再次提醒各位用戶,切勿點選不明的網址連結,或任意下載軟體,以免造成損害。

更多資訊請至 http://heartbeat.skype.com

若已感染此病毒之用戶,可依照下列方式"手動"進行病毒解除:
(本方法僅適用於電腦程度進階用戶,此方式具有風險性,用戶必須為會進入安全模式且具有修改REGISTRY經驗再進行之,若電腦程度尚淺之用戶請勿任意嘗試!)

1. 拔除網路線,重新開機,在電腦開機過程中,顯示完硬體清單,進入WINDOWS開機畫面(螢幕出現WINDOWS圖片前)前,按下F8,進入開機選項清單,選擇安全模式後,按ENTER,進入安全模式。

2. 在C:\Windows\System32 找到並刪除以下檔案: wndrivs32.exe , mshtmldat32.exe , winlgcvers.exe, sdrivew32.exe

3. 以Notepad開啟C:\windows\system32\drivers\etc\hosts,按下CTRL+A , 直接刪除全部的列表 (此行為將會暫停您的防毒更新),存檔後並關閉檔案。

4. 然後在「開始」--> 「執行」中打 "regedit"後按ENTER,此時會開啟registry editor。

5. 在畫面左欄依路徑找 HKEY_LOCAL_MACHINE/software/microsoft/windows/currentversion/runonce 路徑,點擊RUNONCE 在畫面右欄找 mshtmldat32.exe 並刪除之。

6.重新啟動電腦。



回覆
主題工具







 XML   RSS 2.0   RSS 
本站使用 vBulletin 合法版權程式
站務信箱 : www@pczone.com.tw

本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :www@pczone.com.tw 處理。