Get-messenger透過MSN傳送木馬網站讓大家餘悸猶存,MSN又傳出病毒騷擾,這次是透過名單中的朋友,自動傳送一個photo album.zip檔案,這是一個ircbot,根據卡巴斯基防毒軟體檢測,為Backdoor.Win32.IRCBot.aaq,因此朋友傳送資料,一定要反覆確認。 5Fu�K���\y
S�[@6Lp3q_
首先,名單中的朋友會發出類似「Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...」文字訊息,之後又會自動傳出一個約21kb大小名為photo album的zip檔案,而zip檔案解開則是photo album2007.pif,執行之後,除了將photo album.zip複製到windows之下的檔案夾之外,另外創造出一個rdshost.dll,放在System32檔案夾中,隨瀏覽器一起啟動,同時會修改登錄(registry)。 �ehc<|O9tY
?\yB)Nd� y
根據大陸網站C.I.S.R.T討論區提供的解決方案,首先在「開始」的「執行」中輸入regedit,打開登錄檔,刪除 '=%i�����,
_XN~@5elrC
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" >�
I%zd/q?
B�y/b�VZks
[HKEY_CLASSES_ROOTCLSID{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}InProcServer32]@="rdshost.dll" :Ba-�u����
7dhn'��TW�
其中,{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為一串CLSID,病毒產生的這段CLSID不固定,例如:{3CBAEB1E-422A-495D-A45F-5D9E10AACD4B}。 T.euoFU{Z�
= P8�~n2V�
之後重新啟動電腦,刪除C:Windowsphoto album.zip與C:WindowsSystem32rdshost.dll Pu/l��pHm|
A@�{ !:_55
但是,根據台灣微軟方面表示,目前並未收到用戶回報,可能不是大規模流行。
