[轉錄]特洛伊記事本病毒 流竄區域網路
※ [本文轉錄自 Nethood 看板]
作者: bin (紅塵冉冉) 看板: Nethood
標題: 特洛伊記事本病毒 流竄區域網路
時間: Wed Aug 23 20:33:47 2000
本文來自 http://inews.is.net.tw/tech/internet/2000/08/200008222288.html
【╱編輯部 台北報導】「記事本病毒中毒事件」在國內BBS病毒討論區已引起熱烈討論,
一隻名為 Notepad Trojan 的特洛伊記事本病毒正在網路上流傳。這隻病毒會修改電腦
中的Windows註冊檔,並常駐在內,同時還會感染區域網路連線電腦。
當 Notepad Trojan 特洛伊病毒被執行時,會修改電腦中的 Windows 註冊檔
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
加入一行 StartIE=.....notepad.exe qazwsx.hsq,重開機後會進行常駐。
它的感染方式是:Notepad Trojan 病毒啟動後會去尋找區域網路連線的其他電腦,找到
電腦後將其 Windows 目錄下的 NOTEPAD.EXE 重新命名為 NOTE.COM,再把自己命名為
NOTEPAD.EXE,造成其他用戶一執行記事本就會先啟動病毒,然後病毒會執行NOTE.COM,
所以不會發現電腦已經中毒。
Notepad Trojan病毒啟動後,會發一封e-Mail,發信與收件者同為:nongming_cn。另外
Notepad Trojan 還會嘗試去連結 202.106.185.107 的網址,而這是隸屬於大陸某ISP公
司提供的網址。據金帥資訊防毒小組測試,Notepad Trojan 病毒是以簡體版的 Visual
C++ 編譯而成,檢視病毒內容並含有「偵測電腦作業系統語言版本的功能」。
如何判斷是否已受感染?
1.Windows目錄下有一個NOTE.COM檔。
2.正常的NOTEPAD.EXE檔案大小為51-57KB,若是病毒,大小則為118KB。
要如何病毒如何解決呢?你可以根據以下步驟自己動手清除:
步驟一:執行 Windows 目錄下的 REGEDIT.EXE 程式,將
HKEY_LOCAL_MACHINESoftwareMicrosoftCurrentVersionRun 裡面有指到Notepad.exe的指
令 (StartIE) 殺掉。
步驟二:按 ctrl+alt+del 將 Notepad.exe 線上程式結束工作。
步驟三:將 Notepad.exe 刪除,並將 Note.com 命名回 Notepad.exe。
--
※ 發信站: 批踢踢實業坊(ptt.twbbs.org)
◆ From: reddust.m8.ntu.edu.tw
--
※ 發信站: 批踢踢實業坊(ptt.twbbs.org)
◆ From: h52.s186.ts.hinet.net