網際論壇 - 寬頻使用 / 防毒防駭討論 - 中國變種木馬 綁架桌面捷徑
» 遊客:  註冊 | 登錄 | 會員 | 幫助
 

免費線上小說
動漫分類 : 最新上架熱門連載全本小說最新上架玄幻奇幻都市言情武俠仙俠軍事歷史網游競技科幻靈異 ... 更多小說

作者:
標題: 中國變種木馬 綁架桌面捷徑 上一主題 | 下一主題
  c099959
  區版主 
  花媽說的.小小幸福.小小幸福~


 
  積分 51741
  發文 2107
  註冊 2007-1-31
  來自 阿達阿達星座
  狀態 離線
#1  中國變種木馬 綁架桌面捷徑

自由時報
[記者王珮華/台北報導]資安業者近期觀察新一波木馬程式攻擊,發現名為Troj_malware.vtg的木馬,會竄改使用者桌面捷徑,只要使用者點下這些捷徑,就會連到中國知名網站,如百度、淘寶等,推測木馬的作者可能是對岸駭客。資安業者建議,透過修改登錄檔,可解決桌面捷徑被綁架的問題。


趨勢科技表示,最近發現一隻名為Troj_malware.vtg的變種木馬程式,一旦網友瀏覽帶有此木馬程式的網頁,會跳出視窗詢問是否要執行某些程式,不論網友接受與否,此惡意程式將自動執行,讓使用者的檔案捷徑失效,點選任何捷徑都會被連到某些中國知名網站如百度、淘寶等,捷徑形同綁架。


趨勢科技資深技術顧問簡勝財指出,該木馬目前在中國與台灣都有發現,由於木馬程式可能被駭客植入任何網站,因此無法得知瀏覽哪些網站會中招。不過,從木馬執行時,會跳出簡體中文視窗來看,這隻木馬作者有很大機會是對岸人士,也推測網友瀏覽中國網站時,遭感染的機會比較大,請網友特別小心。


簡勝財說,目前觀察到被感染的檔案捷徑將無法自桌面直接修復,須經手動於系統中修復,造成網友使用電腦的不便,至於遭感染的電腦是否會有其他風險,目前還沒發現,依照駭客行為模式,可能是在測試某些更具威脅性的惡意工具。簡勝財提醒,由於此隻木馬程式變種速度快且多,網友最好勿輕易瀏覽不明網站。


趨勢科技也提供修復方式,網友可在「附屬應用程式」中找到「執行」,輸入「regedit」,按下「編輯-->尋找」,輸入被綁架前往的目的網址,找到左方相對應的CLSID值;之後,再「編輯-->尋找」,輸入CLSID值,將搜尋到的登錄值全數刪除,即大功告成。




2010-7-29 03:12 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  topman26
  基本會員 
 


  積分 144
  發文 47
  註冊 2010-8-17
  狀態 離線
#2  

哈哈  感覺挺好的 有意思哦 不錯~~



http://www.cheapugghazel.com
2010-9-18 04:26 PM
查看資料  發送郵件  訪問主頁  發短消息   編輯文章  引用回覆
  rambocnc
  中級會員 
 



  積分 864
  發文 162
  註冊 2006-8-7
  狀態 離線
#3  

這篇報導對CLSID值(頪別識別碼)沒有說明很清楚,是CLSID底下的那些機碼數值,是可以刪除和不可刪除。
新聞報導的只是概略的解法,並不是詳細的解法。
要刪除的是CLSID底下的這些識別碼裡含有被綁架的數值資料機碼
例如:
{11016101-E366-4D22-BC06-4ADA335C892B}
{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
{871C5380-42A0-1069-A2EA-08002B30309D}
{1F4DE370-D627-11D1-BA4F-00A0C91EEDBA}

這些數值機碼值,有些底下還有子數值資料,且有的可以刪除,但有的只能修改回預設值不行刪,只能改回原來數值,有些是則要保留。 所以請要確認清楚別刪錯了。

誤刪j輕則會造成系統執行的問題,重則會無法開機。
範例圖片↓
http://www.box.net/shared/3li0gk1cqf
http://www.box.net/shared/1mm93n8fnt

[ Last edited by rambocnc on 2010-9-22 at 09:32 AM ]


2010-9-22 09:24 AM
查看資料  發短消息   編輯文章  引用回覆
  A127cc123
  一般會員 
 



  積分 573
  發文 178
  註冊 2009-12-23
  狀態 離線
#4  

重點是沒有更新windows更新後此漏洞已消失(暫時性的吧)

2010-11-15 01:18 AM
查看資料  發短消息   編輯文章  引用回覆
  ft301
  中級會員 
 


  積分 1005
  發文 149
  註冊 2007-7-27
  狀態 離線
#5  

我也中了
=開新索引標籤about:blank時.就轉到以下網頁.真可惡
=網址沒變一樣是about:blank  
=網址可點IE的[檔案][內容]找出

  ???8網址導航
http://www.??00.cn/???ft_t

「附屬應用程式」中找到「執行」,輸入「regedit」,確定-點HKEY-CLASSES-ROOT 反白.再點-編輯->尋找」,輸入被綁架前往的目的網址http://www.??00.cn/???ft_t,找到相同網址刪除之後,再「編輯-->尋找」下一個,將搜尋到的登錄值全數刪除,即大功告成。

???是我改的.不想替她廣告....C8C8


2010-12-3 11:01 PM
查看資料  發短消息   編輯文章  引用回覆

可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題

論壇跳轉選單: