近一個禮拜,我公司被電子郵件蠕蟲搞的雞飛狗跳的,我這幾天上網尋找資訊並經由高人指點,已找出目前我認為較妥當的解決方案,以下為我個人處理經驗。
以下為我個人就處理公司的經驗並參考自趨勢科技的公告:http://www.trend.com.tw/corporate/about ... 20418b.htm
此病毒目前以不固定主旨(無釐頭),沒有信件內容,附加檔案則不一定會寄(通常會寄,當然,數量一多就會造成電子郵件主機癱瘓,附加檔案也會浪費電子郵件主機的硬碟空間)的方式發 Email,重點是寄件方式則是隨便點選通訊錄裡的一人為寄件者,另選一人為收件者,因此寄件者並不一定是中毒者,我也收到過一封電子郵件,寄件者與收件者都是同一人,當然,那人就我自己。
此病毒會私下反安裝 Norton Anti-virus 與 PC-Cillin 等此兩套常見防毒軟體(不知道其它防毒軟體是否一樣),尤其是病毒碼並未更新到可掃描出此病毒的版本﹔中毒者即使嘗試安裝第一次成功,重新開機後,防毒軟體也會再遭反安裝,所以如果防毒軟體無端的消失,這已是中此病毒的前兆。\r
防毒軟體公司趨勢科技指出,即使使用電子郵件預覽,也會中毒,我對此則持保留的態度,因為公司是有開啟郵件預覽,如果以趨勢科技的說法,台灣公司的災情會更嚴重很多﹔不管如何,郵件預覽功能都該關閉,因為鑽電子郵件預覽功\能漏洞導致中毒的病毒類型也是有,關閉預覽功能,即不會執行電子郵件內容,只會看到發信者是誰,標題與是否有附加檔案,日後凡是收到不名人士,可疑標題的信件與附加檔案,直接刪除即可。\r
此病毒並會假冒是由防毒軟體公司名義發出的清除工具或者是某公司的跟新檔案來誘拐用戶點選,我個人已收到偽 Norton Anti-Virus 所發的 patch.exe 與偽微軟所發的 setup.exe,這為病毒執行檔,絕對不要執行,立即刪除﹔現在更有病毒電子郵件自稱是移除此病毒檔案,W32.Klez.E removal tools,一但執行,反而自行羊入虎口中毒。
此病毒會造成朋友之間的不信任感﹔對公司則造成名譽上的損失,因為客戶收到以公司電子郵件地址所發的病毒郵件,雖說此病毒是隨便點選通訊錄裡的一人為寄件者,另選一人為收件者,然而一般使用者並不知其病毒特性,只會將矛頭指向寄件者來承擔莫須有。
目前我也發現此病毒私自竊取文件檔案並亂發,諸如 *.doc。
以下為我實際使用的檢查,解毒與事後步驟:
檢查:
1. 正常開機模式
2. 已安裝防毒軟體無故失效,無法一開始就自我執行,開機後嘗試手動執行,一樣不能﹔防毒軟體諸如 PC-Cillin & Norton Anti-virus,這通常以表示中毒了。
3. 在 Windows 2000 下,按 "Ctrl+Alt+Del"選取"工作管理員",點選"處理程序"查看是否有一 wink*.exe 的程式在執行,如果有,則表示以中此病毒﹔此病毒無法在視窗正常工作模式中關閉,欲結束處理程序,會顯示無法關閉的警告。
4. 執行"開始"=>"搜尋"=>"搜尋名稱如下的檔案貨資料夾"為"wink", 按"立即搜尋"; 此病毒的執行檔,以 wink 為開頭,檔案格式為 wink*.exe,為隱藏檔,位於 \systemroot\system32 目錄下﹔此檔案可在視窗正常工作模式裡被刪除,不過重新開機後,檔案會以不同的 wink*.exe 重升,所以請參照後面的除毒步驟。
5. 執行"開始"=>"執行"輸入 regedit,修改系統登錄編輯程式,=>按 Ctrl+F 或者是"編輯=>尋找", "尋找目標"為 wink,任何以 wink 開頭的機碼,值與資料,均為中毒跡象,如果 wink 字串不是開頭,則可能為其它程式所有,請不要亂刪,以免造成不必要的系統不穩定,已知蒙恬漢筆一些機碼內涵 wink,不過不是以 wink 為開頭﹔可按 F3 尋找下一個目標﹔請不要在視窗正常模式下嘗試刪除,請參考後面的除毒步驟。
除毒程式:
FixKlex.exe:此為 Symantec Norton Anti-virus 所外放的清毒工具﹔在我的環境下,功能只是掃描硬碟是否有 wink*.exe 並移除,但無法修復系統登入檔﹔官方下載網址為:http://www.symantec.com.tw/avcenter/ven ... .tool.html
Duba_WantJob.exe :此為中國大陸一防毒軟體公司,金山毒霸,http://www.iduba.net,所外放的病毒移除工具﹔在我的環境下,能修復系統登入檔,但無法清除 wink*.exe﹔官方下載網址為:http://www.iduba.net/download/other/too ... antjob.htm
此病毒主要為一 wink*.exe 的執行檔,會自我登錄在視窗的系統登錄裡,當系統啟動時,便啟動執行預設動作,亂發電子郵件﹔wink*.exe 雖為隱藏檔,但可以簡單的用尋找出來並清除,這為 Symantec FixKlex.exe 的功能﹔然而系統登錄檔則較不好清,請參考以下各視窗系統下清除程序。\r
步驟一:不管為何視窗作業系統,確定清毒程式以下載到硬碟或者是磁碟片上可供使用,視窗 XP 可不必。
步驟二:隔離網路,諸如拔除網路線或者是離開電話撥接。
步驟三:重新開機到視窗安全模式,開機後,在進視窗前連按 F8,會出現開機選項,點選安全模式,開機因環境差異,可能會比較慢。
作業系統:視窗 XP,完全手動
步驟四:執行"開始"=>"搜尋"=>"搜尋名稱如下的檔案貨資料夾"為"wink", 按"立即搜尋",找到 wink*.exe 直接刪除,應該位於 \systemroot\system32 目錄下﹔搜尋會自動搜尋隱藏檔案。
步驟五:執行"開始"=>"執行"輸入 regedit,修改系統登錄編輯程式,=>按 Ctrl+F 或者是"編輯=>尋找", "尋找目標"為 wink,任何以 wink 開頭的機碼,值與資料,都要刪除,若出現無法刪除之訊息,在此機碼按右鍵選「使用權限」,將下方的「完全控制」打勾,按確定,應可正確進行刪除動作﹔尋找下一個,就按 F3。
步驟六:再檢查,確定該清的清光了
作業系統:視窗 XP,執行清毒程式
步驟四:FixKlex.exe 按兩下執行
步驟五:Duba_WantJob.exe 按兩下執行以清除系統登錄
步驟六:再檢查,確定該清的清光了
作業系統:視窗 2000,清毒步驟
步驟四:FixKlex.exe 按兩下執行或者是執行"開始"=>"搜尋"=>"搜尋名稱如下的檔案貨資料夾"為"wink", 按"立即搜尋",找到 wink*.exe 直接刪除,應該位於 \systemroot\system32 目錄下﹔搜尋會自動搜尋隱藏檔案。
步驟五:Duba_WantJob.exe 按兩下執行以清除系統登錄﹔視窗兩千並無系統登錄「使用權限」的選項。
步驟六:再檢查,確定該清的清光了
註:系統登錄有可能清不乾淨,主要的都應該清玩了﹔若是還有不乾淨的 wink 餘毒,找到,再系統登錄左邊視窗按 del 清除掉。
作業系統:視窗 98/95,沒有實驗,清毒原理應該同上。
步驟七:關閉電子郵件預覽功能。\r
步驟八:重新啟動或者是重新安裝防毒軟體,並更新病毒碼。
我在公司 Email 主機裝上電子郵件掃描軟體,以後凡是有副檔名為 bat, txt, html, 與一些其它附加檔名,均會被此掃描軟體直接刪除,哪些需要被擋下的檔案名可被管理者定義,這樣是省事很多。
拙作 : 清除求職信病毒
版主: DearHoney
<== 檔名剛好是 wink.gif 喔我這邊也分享一下企業裡面的經驗,不過不是解決病毒的方法,而是目前我們提供給同仁的防治方法。
因為我們公司有購買趨勢科技「整套的」企業防毒工具,所以有以下這幾個神奇的工具正在使用:
OfficeScan
ServerProtect
ScanMail for Exchange Server 2000
OfficeScan 是一個可以讓使用者自己掃毒,但也可以由中央控管來掃毒的工具,產品本身的限制是無法安裝在 Windows 2000 Server 與 NT Server 的作業系統上。此產品要安裝很簡單,透過中央控管的網頁,可以直接點選網頁的內容,然後就安裝到你的電腦裡面。但是要解除安裝時,會向使用者要求輸入中央控管的密碼,沒有密碼就不能解除。所以這東西要被一般的程式給幹掉還有點不太容易,也就是請神容易送神難的東西。
ServerProtect 可以安裝在任何 base on NT 架構的作業系統,也就是包含 WinNT、Win2000、WinXP。這個安裝可以是使用者自己拿著光碟安裝到自己的電腦裡面並且加入中央控管,或是由中央派送 ServerProtect 到有任何加入 Windows 網域的電腦內(相信這邊絕大多數的人即使操作 Windows2000 兩年以上也不知道什麼叫做網域)。被派送的電腦沒有抵抗能力,你會發現右下角突然長出一個紅十字的標誌,表示你的電腦被 ServerProtect 給保護起來了。機房 MIS 人員並不需要到你面前安裝軟體,恐怖吧..... 這就是 WindowsNT 作業系統的軟體派送..... 另外,ServerProtect 本身是 WindowsNT 的一個 service,所以開機就被啟動,一般軟體想要隨便就移除掉 ServerProtect 更是難上加難。ServerProtect 是一個完全由中央控管的軟體,使用者端完全無法控制 ServerProtect,由中央來決定什麼時間幫你掃毒與更新病毒碼。
ScanMail for Exchange Server 2000 很明顯的,就是一套安裝在 Exchange Server 2000 上的掃毒軟體。我們公司正是使用 Exchange Server 2000 來負責 E-Mail 收發,安裝了 ScanMail 後,所有進出的信件全部會被檢查,遇到有病毒的就把病毒拿掉,留下健康的信件給你。現在正頭疼的求職信病毒,已經在趨勢最新的病毒碼之內,每天都可以檔下來好多的求職信病毒,留下健康的信件給同仁去收取。
以上三套軟體,均是趨勢科技的東西,病毒碼、掃毒引擎都會自動更新,也都是同一套掃毒技術,所以機房已經幫企業同仁做了第一道把關,企業裡面再安裝 OfficeScan 或 ServerProtect 則多了第二重保障。目前的感覺還不錯。
因為我們公司有購買趨勢科技「整套的」企業防毒工具,所以有以下這幾個神奇的工具正在使用:
OfficeScan
ServerProtect
ScanMail for Exchange Server 2000
OfficeScan 是一個可以讓使用者自己掃毒,但也可以由中央控管來掃毒的工具,產品本身的限制是無法安裝在 Windows 2000 Server 與 NT Server 的作業系統上。此產品要安裝很簡單,透過中央控管的網頁,可以直接點選網頁的內容,然後就安裝到你的電腦裡面。但是要解除安裝時,會向使用者要求輸入中央控管的密碼,沒有密碼就不能解除。所以這東西要被一般的程式給幹掉還有點不太容易,也就是請神容易送神難的東西。
ServerProtect 可以安裝在任何 base on NT 架構的作業系統,也就是包含 WinNT、Win2000、WinXP。這個安裝可以是使用者自己拿著光碟安裝到自己的電腦裡面並且加入中央控管,或是由中央派送 ServerProtect 到有任何加入 Windows 網域的電腦內(相信這邊絕大多數的人即使操作 Windows2000 兩年以上也不知道什麼叫做網域)。被派送的電腦沒有抵抗能力,你會發現右下角突然長出一個紅十字的標誌,表示你的電腦被 ServerProtect 給保護起來了。機房 MIS 人員並不需要到你面前安裝軟體,恐怖吧..... 這就是 WindowsNT 作業系統的軟體派送..... 另外,ServerProtect 本身是 WindowsNT 的一個 service,所以開機就被啟動,一般軟體想要隨便就移除掉 ServerProtect 更是難上加難。ServerProtect 是一個完全由中央控管的軟體,使用者端完全無法控制 ServerProtect,由中央來決定什麼時間幫你掃毒與更新病毒碼。
ScanMail for Exchange Server 2000 很明顯的,就是一套安裝在 Exchange Server 2000 上的掃毒軟體。我們公司正是使用 Exchange Server 2000 來負責 E-Mail 收發,安裝了 ScanMail 後,所有進出的信件全部會被檢查,遇到有病毒的就把病毒拿掉,留下健康的信件給你。現在正頭疼的求職信病毒,已經在趨勢最新的病毒碼之內,每天都可以檔下來好多的求職信病毒,留下健康的信件給同仁去收取。
以上三套軟體,均是趨勢科技的東西,病毒碼、掃毒引擎都會自動更新,也都是同一套掃毒技術,所以機房已經幫企業同仁做了第一道把關,企業裡面再安裝 OfficeScan 或 ServerProtect 則多了第二重保障。目前的感覺還不錯。
我也是用 nod32,防毒能力和 NAV 有的比,可是掃瞄速度更快,更不耗費系統資源。大家可以參考下列的網址
http://www.virusbtn.com/100/vb100sum.html
從 98 年1月到現在只漏掉一次。
不過就回復檔案的能力而言,我覺得還是 NAV 強些
http://www.virusbtn.com/100/vb100sum.html
從 98 年1月到現在只漏掉一次。
不過就回復檔案的能力而言,我覺得還是 NAV 強些
<font color=green>防毒軟體公司趨勢科技指出,即使使用電子郵件預覽,也會中毒,我對此則持保留的態度,因為公司是有開啟郵件預覽,如果以趨勢科技的說法,台灣公司的災情會更嚴重很多﹔不管如何,郵件預覽功能都該關閉,因為鑽電子郵件預覽功\能漏洞導致中毒的病毒類型也是有,關閉預覽功能,即不會執行電子郵件內容,只會看到發信者是誰,標題與是否有附加檔案,日後凡是收到不名人士,可疑標題的信件與附加檔案,直接刪除即可。
</font>
IE版本升級到5.5sp2以上,這個漏洞就沒了
取而代之是詢問使用者要執行或是下載檔案
關閉預覽功能是最佳方法\r
http://www.microsoft.com/technet/securi ... 01-020.asp
這隻毒在我公司也是造成極大傷害
即使我公司也是使用趨勢....
能夠即時更新可以防禦病毒的新病毒碼才是王道啊...
沒更新病毒碼,防毒軟體=垃圾
</font>
IE版本升級到5.5sp2以上,這個漏洞就沒了
取而代之是詢問使用者要執行或是下載檔案
關閉預覽功能是最佳方法\r
http://www.microsoft.com/technet/securi ... 01-020.asp
這隻毒在我公司也是造成極大傷害
即使我公司也是使用趨勢....
能夠即時更新可以防禦病毒的新病毒碼才是王道啊...
沒更新病毒碼,防毒軟體=垃圾
這篇是我改自我發給我公司內部同仁的信.
寫這篇原由自與 AMD 超頻網的朋友討論並自己實驗的結果, 本篇也有貼在 AMD 超頻網, 那邊很多朋友也提供他們的見解, 對此事件有興趣的人, 以下為 AMD 超頻網本問題討論: 「求職信病毒」一變再變,襲捲全台各大行業
寫這篇原由自與 AMD 超頻網的朋友討論並自己實驗的結果, 本篇也有貼在 AMD 超頻網, 那邊很多朋友也提供他們的見解, 對此事件有興趣的人, 以下為 AMD 超頻網本問題討論: 「求職信病毒」一變再變,襲捲全台各大行業