病毒W32.Bacalid, W32.Bacalid!inf
文章來源http://www.netranger.com.tw/notice_detial.php?n_id=245
Symantec AntiVirus更新至 9/1之後的病毒定義檔,均可有效攔截及刪除W32.Bacalid,W32.Bacalid!inf的病毒攻擊;但系統或網路分享資料夾中己遭受感染的.exe及.dll檔案,目前防毒軟體是無法進行修復,為避免企業持續遭受此病毒的擴散,建議採取下列程序來進行防護:
1、避免用戶端持續連線到惡意網站下載新的變種病毒程式,請務必於企業防火牆等網路設備中設定限制至www.shuaiad.com{IP:222.73.254.52} 網站的任何連線。
2、確認Symantec AntiVirus病毒定義檔是否更新至9/1之後的病毒定義檔 (防毒伺服器及用戶端),同時保持持續的更新。
3、關閉檔案分享,若有一定要共用的程式,應設成唯讀,避免受感染的電腦進行散佈感染,造成疫情爆發。
4、Windows 2000 系統 Administrator 不使用空白密碼,避免病毒透過用系統預設的分享 C$、Admin$、D$進行散佈感染。
若已發現企業內部有受感染的情況時,其處理程序如下:
(1)將受感染的用戶端電腦立即作離線。
(2)若發現受感染的檔案位置為網路分享資料夾時,為避免成 為感染源,建議請立即將該伺服器離線,將受感染的檔案刪除,從備份檔案中還原。
(3)確認Symantec AntiVirus病毒定義檔是否更新至9/1之後的最新病毒定義檔
。
(4)若作業系統為Windows ME/XP者,請關閉系統還原功能,避免系統自動還原病毒程式。
(5)檢查使用者的暫存資料夾(%temp%)中,是否存在有一個檔名為Vcab.dll的隱藏檔案,檔案大小約為30-35K,若有的話請將此檔案刪除。
(6)執行全系統掃描,目前受感染的檔案、防毒軟體是無法進行修復的,故需將偵測到的受感染檔案刪除;由於此病毒是藉由檔案總(Explorer.exe)來感染的,而檔案總管(Explorer.exe)會將檔案Lock,所以防毒軟體無法直接刪除,故刪除檔案的動作請在命令提示字元(MSDOS)模式中刪除。執行完成後建議重新啟動電腦。
(7)電腦重新啟動完成後,從乾淨的原始檔案或備份檔案中還原己遭刪除的感染檔案。
(8)受感染的電腦將病毒威脅修復排除後,若有發生無法上網情況時,應是該電腦的網路組態中 Winsock設定遭修改,可以下列方式進行俢復:
A. Windows 2000及XP Service pack 1使用者:可至下列位址下載WinsockXPFix.exe程式進行修復。
http://www.iup.edu/house/resnet/WinsockXPFix.exe
B. XP Service pack 2使用者:可輸入下列指令進行修復,修復完成後重新啟動系統。
Netsh winsock reset
(9)請注意上述提及之檔案總管(Explorer.exe)檔案,為系統內正常程式非病毒檔案,請勿將Explorer.exe檔案刪除。
==========================================
文章來源http://www.jwit.edu.tw/JWIT4/content.php?post_id=485&select=0
關於電腦病毒
Infostealer(or Infostealer.Lineage)[3.exe,ad001.exe,ad003.exe,svhost32.exe]及W32.Bacalid!inf[vcab.dll]之緊急公告:
1.全校各電腦請先將Symantec防毒軟體之病毒碼定義檔,檢查看看是否已經更新到最新版本 (2006 / 9 / 6 , ver.17 )。
2.先至 http://dl.filseclab.com/down/powerrmv.zip 下載到本機電腦之硬碟,如:桌面。
3.若發現防毒軟體偵測到感染到此2個病毒,則請立刻重開機,按F8(or F5)進入安全模式以進行下列操作。
4.受Infostealer感染到的檔案,可被清除且隔離者,請到防毒軟體中之隔離所,做刪除動作!!
5.再解壓縮powerrmr.zip 檔,再於解壓縮的目錄下,執行powerrmv.exe, 按圖示按鍵,檔案名的地方,請將防毒軟體抓到的病毒路徑貼上,再勾選:抑制檔案再次生成選項,按下清除按鍵,做刪除動作。
6.清掉以下Temp資料夾中之所有暫存檔案 (及任何不明程式)
C:\Documents and Settings\ xxx \Local Settings\Temp(note1:xxx表示登入windows的帳號)
(note2:若無法看到上述路徑,則請先取消隱藏保護的作業系統檔,取消隱藏方法 →檔案總管 →工具 →資料夾選項 →檢視→勾選顯示所有檔案和資料夾,才能看到到這個Temp資料夾 )
7.找機碼:開始→執行→regedit,點選我的電腦,編輯→尋找→受感染的檔案,刪除之! (如:*.dll)
(note:其中步驟 *.dll表所有被感染之.dll檔,而受感染的檔案名稱,請自行依防毒軟體找到的名稱來搜尋)
8.檔案總管 →搜尋 →desktop.ini檔,只保留 c:\windows, c:\windows\system32,c:\program files 下之此檔案,其餘此檔皆刪除。
9.關閉網路芳鄰共享目錄或檔案之功能,即關閉TCP/UDP 445 port,TCP/UDP 139 port,及TCP 135 port,UDP 138 port,若必須開網路芳鄰共享,則設定只能唯讀之權限。
(note:關閉port號的動作,請從windows防火牆 →例外的地方去關閉)
10.再重新開機回到正常開機模式,準備開始做個人資料之備份,而因先前電腦已經中毒,受到破壞性感染,原先某些作業系統或應用程式(如.exe, .dll檔案)會被破壞→請填寫行政支援申請單後,送至資訊中心報修重灌系統!!
11.目前,已連絡過Symantec原廠台灣技術支援工程師,其告知此2個病毒尚無fix and removal tool → user可協助提交受感染的檔案給其做分析,以利加速其R&D工程師進行開發removal tool的時程,提交網址:https://submit. Symantec.com/gold/
=============================
Kaspersky Online Scanner 卡巴斯基線上掃毒
http://www.kaspersky.com.tw/virusscanner/
http://www.kaspersky.nl/content/view/19/135/lang,en/
Symantec AntiVirus更新至 9/1之後的病毒定義檔,均可有效攔截及刪除W32.Bacalid,W32.Bacalid!inf的病毒攻擊;但系統或網路分享資料夾中己遭受感染的.exe及.dll檔案,目前防毒軟體是無法進行修復,為避免企業持續遭受此病毒的擴散,建議採取下列程序來進行防護:
1、避免用戶端持續連線到惡意網站下載新的變種病毒程式,請務必於企業防火牆等網路設備中設定限制至www.shuaiad.com{IP:222.73.254.52} 網站的任何連線。
2、確認Symantec AntiVirus病毒定義檔是否更新至9/1之後的病毒定義檔 (防毒伺服器及用戶端),同時保持持續的更新。
3、關閉檔案分享,若有一定要共用的程式,應設成唯讀,避免受感染的電腦進行散佈感染,造成疫情爆發。
4、Windows 2000 系統 Administrator 不使用空白密碼,避免病毒透過用系統預設的分享 C$、Admin$、D$進行散佈感染。
若已發現企業內部有受感染的情況時,其處理程序如下:
(1)將受感染的用戶端電腦立即作離線。
(2)若發現受感染的檔案位置為網路分享資料夾時,為避免成 為感染源,建議請立即將該伺服器離線,將受感染的檔案刪除,從備份檔案中還原。
(3)確認Symantec AntiVirus病毒定義檔是否更新至9/1之後的最新病毒定義檔
。
(4)若作業系統為Windows ME/XP者,請關閉系統還原功能,避免系統自動還原病毒程式。
(5)檢查使用者的暫存資料夾(%temp%)中,是否存在有一個檔名為Vcab.dll的隱藏檔案,檔案大小約為30-35K,若有的話請將此檔案刪除。
(6)執行全系統掃描,目前受感染的檔案、防毒軟體是無法進行修復的,故需將偵測到的受感染檔案刪除;由於此病毒是藉由檔案總(Explorer.exe)來感染的,而檔案總管(Explorer.exe)會將檔案Lock,所以防毒軟體無法直接刪除,故刪除檔案的動作請在命令提示字元(MSDOS)模式中刪除。執行完成後建議重新啟動電腦。
(7)電腦重新啟動完成後,從乾淨的原始檔案或備份檔案中還原己遭刪除的感染檔案。
(8)受感染的電腦將病毒威脅修復排除後,若有發生無法上網情況時,應是該電腦的網路組態中 Winsock設定遭修改,可以下列方式進行俢復:
A. Windows 2000及XP Service pack 1使用者:可至下列位址下載WinsockXPFix.exe程式進行修復。
http://www.iup.edu/house/resnet/WinsockXPFix.exe
B. XP Service pack 2使用者:可輸入下列指令進行修復,修復完成後重新啟動系統。
Netsh winsock reset
(9)請注意上述提及之檔案總管(Explorer.exe)檔案,為系統內正常程式非病毒檔案,請勿將Explorer.exe檔案刪除。
==========================================
文章來源http://www.jwit.edu.tw/JWIT4/content.php?post_id=485&select=0
關於電腦病毒
Infostealer(or Infostealer.Lineage)[3.exe,ad001.exe,ad003.exe,svhost32.exe]及W32.Bacalid!inf[vcab.dll]之緊急公告:
1.全校各電腦請先將Symantec防毒軟體之病毒碼定義檔,檢查看看是否已經更新到最新版本 (2006 / 9 / 6 , ver.17 )。
2.先至 http://dl.filseclab.com/down/powerrmv.zip 下載到本機電腦之硬碟,如:桌面。
3.若發現防毒軟體偵測到感染到此2個病毒,則請立刻重開機,按F8(or F5)進入安全模式以進行下列操作。
4.受Infostealer感染到的檔案,可被清除且隔離者,請到防毒軟體中之隔離所,做刪除動作!!
5.再解壓縮powerrmr.zip 檔,再於解壓縮的目錄下,執行powerrmv.exe, 按圖示按鍵,檔案名的地方,請將防毒軟體抓到的病毒路徑貼上,再勾選:抑制檔案再次生成選項,按下清除按鍵,做刪除動作。
6.清掉以下Temp資料夾中之所有暫存檔案 (及任何不明程式)
C:\Documents and Settings\ xxx \Local Settings\Temp(note1:xxx表示登入windows的帳號)
(note2:若無法看到上述路徑,則請先取消隱藏保護的作業系統檔,取消隱藏方法 →檔案總管 →工具 →資料夾選項 →檢視→勾選顯示所有檔案和資料夾,才能看到到這個Temp資料夾 )
7.找機碼:開始→執行→regedit,點選我的電腦,編輯→尋找→受感染的檔案,刪除之! (如:*.dll)
(note:其中步驟 *.dll表所有被感染之.dll檔,而受感染的檔案名稱,請自行依防毒軟體找到的名稱來搜尋)
8.檔案總管 →搜尋 →desktop.ini檔,只保留 c:\windows, c:\windows\system32,c:\program files 下之此檔案,其餘此檔皆刪除。
9.關閉網路芳鄰共享目錄或檔案之功能,即關閉TCP/UDP 445 port,TCP/UDP 139 port,及TCP 135 port,UDP 138 port,若必須開網路芳鄰共享,則設定只能唯讀之權限。
(note:關閉port號的動作,請從windows防火牆 →例外的地方去關閉)
10.再重新開機回到正常開機模式,準備開始做個人資料之備份,而因先前電腦已經中毒,受到破壞性感染,原先某些作業系統或應用程式(如.exe, .dll檔案)會被破壞→請填寫行政支援申請單後,送至資訊中心報修重灌系統!!
11.目前,已連絡過Symantec原廠台灣技術支援工程師,其告知此2個病毒尚無fix and removal tool → user可協助提交受感染的檔案給其做分析,以利加速其R&D工程師進行開發removal tool的時程,提交網址:https://submit. Symantec.com/gold/
=============================
Kaspersky Online Scanner 卡巴斯基線上掃毒
http://www.kaspersky.com.tw/virusscanner/
http://www.kaspersky.nl/content/view/19/135/lang,en/
posted by Howard at 9/13/2006 02:15:00 下午
0 Comments:
張貼留言
<< Home