请输入您要查询的百科知识:

 

词条 Trojan.Bookmarker.E
释义

2004年出现的木马,一种破坏电脑的病毒,Trojan.Bookmarker.E 是 Trojan.Bookmarker.B 的变种,它修改 Internet Explorer 主页、搜索页并向“收藏夹”添加指向色情网站的书签。中了该木马后表现为1.运行速度慢,特别是打开IE。2.会在收藏夹内加一些从没登录过的网址,多数是色情网站。

发现: 2004 年 1 月 27 日

更新: 2007 年 2 月 13 日 12:20:24 PM

别名: TROJ_BOOKMARK.E [Trend]

类型: Trojan Horse

感染长度: 5,120 bytes

受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

该特洛伊木马将 Internet Explorer 主页更改为 webcoolsearch.com。它还使用 UPX 进行了打包。

防护

* 病毒定义(每周 LiveUpdate™) 2004 年 1 月 28 日

* 病毒定义(智能更新程序) 2004 年 1 月 28 日

威胁评估

广度

* 广度级别: Low

* 感染数量: 0 - 49

* 站点数量: 0 - 2

* 地理位置分布: Low

* 威胁抑制: Easy

* 清除: Moderate

损坏

* 损坏级别: Low

* 有效负载: Changes the Internet Explorer home page without permission.

* 修改文件: Modifies Windows hosts file.

分发

* 分发级别: Low

当该特洛伊木马的安装程序执行时,会执行以下操作:

1. 创建文件 %System%\\Cpan.dll。该文件具有隐藏属性。

注意: %System% 是一个变量。该广告软件会找到 Windows 安装文件夹,然后将自身复制到其中。默认为 C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP).

2. 通过执行以下命令调用 Cpan.dll 文件:

rundll32.exe ctrlpan,Restore

Cpan.dll 文件加载后会执行以下操作:

1. 创建文件, %Windir%\\hh.htt 。

2. 将值:

"AppInit_DLLs"="cpan.dll"

添加到注册表键:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows

这样,使在当前登录会话中运行的每个基于 Windows 的程序都会加载 .dll 文件。

3. 添加值:

"Control" = "<number>"

注意:<number> 从系统时间生成。

到注册表键:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer

4. 使用以下文本创建或覆盖 %System%\\Drivers\\Etc\\Hosts 文件:

127.0.0.1 localhost

213.159.117.235 auto.search.msn.com

5. 将值:

"User Stylesheet"="%Windir%\\hh.htt"

"Use My Stylesheet"=0x1

添加到注册表键:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Styles

6. 将值:

"Start Page"="http:/ /aifind.info/"

"Search Page"="http:/ /aifind.info/"

"Search Bar"="http:/ /aifind.info/"

添加到注册表键:

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main

7. 将值:

"SearchURL"="http:/ /aifind.info/"

添加到注册表键:

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer

8. 将值:

"SearchAssistant"="http:/ /aifind.info/"

添加到注册表键:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Search

9. 在“收藏夹”文件夹和其中的“链接”子文件夹中创建几个指向色情网站的链接。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:

* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。

* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。

以下指导适用于最新和最近的所有 Symantec 防病毒产品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品)。

1. 关闭「系统还原」(Windows Me/XP)。

2. 更新病毒定义文件。

3. 执行全面系统扫描并记录被检测为 Trojan.Bookmarker.E 的文件的文件名。

4. 将计算机重启到安全模式或者 VGA 模式。

5. 搜索检测到的 .dll 文件(通常为 cpan.dll)。

6. 重命名该文件和扩展名。

7. 以安全模式重新启动计算机。

8. 删除添加到注册表的值。

9. 执行全面的系统扫描,并删除检测为 Trojan.Bookmarker.E 的文件。

10. 重设 Internet Explorer 主页。

11. 重设 Internet Explorer 搜索页。

12. 从“收藏夹”文件夹删除链接。

13. 删除添加到 Windows 主机文件中的 DNS 项。

有关每个步骤的详细信息,请参阅以下指导。

1. 关闭「系统还原」(Windows Me/XP)

如果您使用的是 Windows Me 或 Windows XP,我们建议您暂时关闭「系统还原」。Windows Me/XP 使用这个预设启用的功能,来还原您计算机上受损的档案。如果病毒、蠕虫或特洛伊木马感染的计算机,「系统还原」可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。

Windows 会防止包括防毒程序的外来程序修改「系统还原」。因此,防毒程序或是工具并无法移除「系统还原」数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染档案清除,「系统还原」还是很有可能会将受感染的档案一并还原至计算机中。

同时,病毒可能会侦测到「系统还原」数据夹里的威胁,即使您已移除该威胁亦然。

有关如何关闭「系统还原」的说明,请阅读您的 Windows 文件,或下列文章:

* 如何关闭或启用 Windows Me「系统还原」。

* 如何关闭或启用 Windows XP「系统还原」。

注意:当您全部完成了移除程序之后,并且确定威胁已经移除,请依循上述文件中的指示重新启用「系统还原」。

如需其它信息以及关闭 Windows Me「系统还原」的其它方法,请参阅 Microsoft 知识库的文章「病毒防护工具无法清除 _Restore 文件夹中受感染的文件」,文章识别码 (Article ID):Q263455。

2. 更新病毒定义文件

赛门铁克安全机制应变中心在将所有病毒定义文件公布于服务器之前已完成品质测试。您可以使用下列两种方式来取得最新的病毒定义文件:

* 执行 LiveUpdate 是获得病毒定义文件的最简单方法:这些病毒定义文件会每星期一次更新到 LiveUpdate 服务器上 (通常是星期三),当有疫情发生时则例外。若要决定此威胁的定义档是否可由 LiveUpdate 取得,请参阅「病毒定义文件 (LiveUpdate)」。

* 使用 Intelligent Updater 下载定义档:Intelligent Updater 的病毒定义文件会在美国的工作日 (星期一到星期五) 公布。您必须由「赛门铁克安全机制应变中心」网站手动下载及安装定义档。若要决定此威胁的定义档是否可由 Intelligent Updater 取得,请参阅「病毒定义文件 (Intelligent Updater)」。

智能更新程序 (Intelligent Updater)病毒定义文件可由此处取得。详细指示说明请参阅「如何使用 Intelligent Updater 来更新病毒定义文件」文件。

3. 扫描并记录受感染文件的文件名

1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。

* 对于 Norton AntiVirus 单机版产品:请参阅文档:如何配置 Norton AntiVirus 以扫描所有文件。

* 对于 Symantec AntiVirus 企业版产品:请参阅文档:如何确定 Symantec 企业版防病毒产品是否设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果任何文件被检测为感染了 Trojan.Bookmarker.E,请记下文件名。现在,请勿尝试删除它们。

4. 将计算机重启到安全模式或者 VGA 模式

请关闭计算机,等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式。更多信息请参阅文档 如何以安全模式启动计算机 。

5. 搜索检测到的 .dll 文件(通常为 Cpan.dll)

根据操作系统执行下面相应指导中的操作。

Windows 95/98/Me/NT/2000

1. 在 Windows 任务栏上,单击“开始”>“查找”或“搜索”>“文件或文件夹”。

2. 在“搜索结果”窗口中,将“搜索范围”设置为 (C:) 并选中“包括子文件夹”。

3. 在“要所搜索的文件或文件夹名为”或“搜索...”框中,键入被检测为 Trojan.Bookmarker.E 的 .dll 文件的文件名。

例如:

cpan.dll

4. 单击“开始查找”或“立即搜索”。

Windows XP

1. 在 Windows 任务栏上,单击“开始”>“搜索”。

2. 单击“所有文件和文件夹”。

3. 在“全部或部分文件名”框中,键入被检测为 Trojan.Bookmarker.E 的 .dll 文件的文件名。

例如:

cpan.dll

4. 验证“在这里寻找”设置为“本地硬盘”或 (C:)。

5. 单击“更多高级选项”。

6. 选择“搜索系统文件夹”。

7. 选择“搜索子文件夹”。

8. 选择“搜索隐藏文件和文件夹”。

9. 单击“搜索”。

6. 重命名文件和扩展名

请根据操作系统执行下面相应部分中的操作。

Windows 95/98/Me

1. 在“搜索结果”框中,用鼠标右键单击找到的文件,然后单击“重命名”。

2. 将该文件重命名为 Badfile.bad。对任何警告消息都单击“确定”或“是”。

3. 关闭“查找”或“搜索”窗口。

Windows NT/2000/XP

1. 单击“开始”,然后单击“运行”。(将出现“运行”对话框。)

2. 键入(或复制并粘贴)下列命令,然后单击“确定”:

cmd /c "attrib -h %systemroot%\\system32\\cpan.dll & ren %systemroot%\\system32\\cpan.dll Badfile.bad"

7. 以安全模式重新启动计算机

警告:请不要跳过此步骤。即使您已在安全模式下,也要再次将计算机重新启动到安全模式。不要以标准模式重新启动,否则会再次创建该特洛伊木马文件。

关闭计算机,关掉电源。至少等候 30 秒,然后以安全模式重新启动计算机。有关指导,请参阅文档:如何以安全模式启动计算机。

8. 从注册表中删除值

警告:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示,请阅读「如何备份 Windows 注册表」文件。

1. 单击“开始”,然后单击“运行”。(将出现“运行”对话框。)

2. 键入 regedit 然后单击“确定”。(将打开注册表编辑器。)

3. 导航至以下键:

* Windows 95/98/Me: 如果运行 Windows 95/98/Me,则跳到步骤 e。

* Windows NT/2000/XP: 如果运行 Windows NT/2000/XP,则导航至以下键:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows

4. 在右窗格中,删除值:

"AppInit_DLLs"="cpan.dll"

5. 导航至以下键:

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Styles

6. 在右窗格中,删除值:

"User Stylesheet"="%Windir%\\hh.htt"

"Use My Stylesheet"=0x1

7. 退出注册表编辑器。

9. 扫描和删除文件

1. 启动 Symantec 防病毒产品并执行全面的系统扫描。

2. 如果有任何文件被检测为感染了 Trojan.Bookmarker.E,请单击“删除”。

3. 以标准模式重新启动计算机。有关指导,请参阅文档:如何以安全模式启动计算机 中有关返回标准模式的适用部分。

10. 重设 Internet Explorer 主页

1. 启动 Microsoft Internet Explorer。

2. 连接 Internet 并进入想要设置为主页的网页。

3. 单击“工具”,然后单击“Internet 选项”。

4. 在“常规”选项卡的“主页”部分中,单击“使用当前页”,然后单击“确定”。

11. 重设 Internet Explorer 搜索页

1. 启动 Microsoft Internet Explorer。

2. 单击工具栏上的“搜索”图标。

3. 在“搜索”窗格中,单击“自定义”。

4. 单击“重置”。

5. 单击“自动搜索设置”。

6. 从下列列表中选择搜索网站,然后单击“确定”。

7. 单击“确定”。

12. 删除添加到收藏夹中的链接

1. 启动 Internet Explorer。

2. 单击“收藏”,然后单击“整理收藏夹”。

3. 删除该特洛伊木马插入的色情网站链接。

13. 删除添加到 Windows 主机文件的 DNS 项

注意:主机文件的位置并不固定,有些计算机可能没有该文件。例如,如果该文件存在于 Windows 98,它通常位于 C:\\Windows 文件夹中;而在 Windows 2000 下,该文件则位于C:\\WINNT\\system32\\drivers\\etc 文件夹中。而且在不同的位置可能有该文件的多个副本。

根据您的操作系统执行下面相应的操作:

* Windows 98/Me/2000

1. 单击“开始”,指向“查找”或“搜索”,然后单击“文件或文件夹”。

2. 确保“搜索范围”设置为 (C:) 并选中了“包含子文件夹”。

3. 在“名称”或“要搜索的文件或文件夹名为”框中,键入:

hosts

4. 单击“开始查找”或“立即搜索”。对找到的每个文件执行以下操作:

1. 用鼠标右键单击文件,然后单击“属性”。

2. 取消选中“属性”对话框底部的“只读”(如果选中)。单击“确定”。

3. 用鼠标右键单击文件,然后单击“打开方式”。

4. 取消选中“始终使用该程序打开这些文件”复选框。

5. 滚动程序列表,双击“记事本”。

6. 删除以下列字符串开头的所有行:

213.159.117.235

7. 关闭“记事本”,并在出现提示时保存更改。

* Windows XP

1. 单击“开始”,然后单击“搜索”。

2. 单击“所有文件和文件夹”。

3. 在“全部或部分文件名”框中,键入:

hosts

4. 验证“在这里寻找”设置为“本地硬盘”或 (C:)。

5. 单击“更多高级选项”。

6. 选中“搜索系统文件夹”。

7. 选中“搜索子文件夹”。

8. 单击“搜索”。

9. 单击“开始查找”或“立即搜索”。

10. 用鼠标右键单击文件,然后单击“属性”。

1. 取消选中“属性”对话框底部的“只读”(如果选中)。单击“确定”。

2. 用鼠标右键单击文件,然后单击“打开方式”。

3. 取消选中“始终使用该程序打开这些文件”复选框。

4. 滚动程序列表,双击“记事本”。

5. 删除以下列字符串开头的所有行:

213.159.117.235

6. 关闭“记事本”,并在出现提示时保存更改。

描述者: Kevin Ha

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 22:18:44