计算机科学

首页 > 计算机科学

远端旧版文件问题

2018-07-27 10:58:43     所属分类:电脑安全

远端旧版文件(Remote Downlevel Document)问题是一个发生于微软Windows系列操作系统的一个保安问题。问题与一款名为“Looked”及其变种的蠕虫有关。

目录

  • 1 感染途径
  • 2 感染过程
    • 2.1 Looked
    • 2.2 Looked.P
    • 2.3 其他可能
  • 3 解决办法
  • 4 软件更新问题
  • 5 与病毒无关的问题可能
  • 6 参考
  • 7 外部链接

感染途径

不详

感染过程

Looked

Looked于2004年12月17日被发现。根据赛门铁克的报告[1],当病毒被执行时,会发生下列的各项事情:

  1. 立即把ZoneAlarm防火墙并下列执行中的程式关掉:
    1. Ravmon.exe
    2. EGHOST.EXE
    3. MAILMON.EXE
    4. KAVPFW.EXE
    5. IPARMOR.EXE
  2. 在受病毒感染的档案所在位置生成 virDll.dll
  3. 把病毒档 virDll.dll 尝试注入Internet Explorer。
  4. 从 www.lookde5.com 下载一个名为“1.exe”的档案。这个档案其实是用来盗取宿主上寄存的密码。
  5. 从 C Drive 开始搜索所有硬盘内的执行档,并把搜寻到的执行档感染。(但位于系统目录及特定录的档案则不在感染之列,详见赛门铁克的网页)

Looked.P

Looked.P于2006年7月被发现。根据赛门铁克的报告[2],当病毒被执行时,会发生下列的各项事情:

  1. 把自己复制到Windows的系统目录(即位于 %Windir% 的目录)
  2. 把病毒 vDll.dll 下载到所在的目录 (比较原版的 virDll.dll)
  3. 检查机码 HKLMSOFTWARESoftDownloadWWW 是否存在,若有的话,再检查"auto"值的资料是否为"1"。
  4. 若以上三个状况都成立,病毒会结束;否则的话,就会在宿主建立上述机码。
  5. 在 HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows 这机码加上 "load" = "%Windir%rundl132.exe" 的字串值,好让系统在重新启动时,会把病毒载入系统内。
  6. 尝试关闭 Kingsoft AntiVirus Service 的运作。
  7. 与病毒的原版一样把 vDll.dll 尝试注入Internet Explorer,但新版亦会同时注入Explorer内。
  8. 从 C Drive 开始搜索所有硬盘内的执行档,并把搜寻到的执行档感染。(但位于系统目录及特定录的档案则不在感染之列,详见赛门铁克的网页)

其他可能

  • W32.HLLW.Gaobot:打印出来的不是日期,而是乱码[3]

解决办法

  • 把局域网内没有连接打印机的电脑的Printer Spooler功能停止。
  • 把print server的netbeui关掉,用tcp/ip打印。
  • 在最坏情况,可能要把所有受感染的电脑重灌。

软件更新问题

  • 一般用户及公司过去只有留意有没有更新病毒定义档,而并未有花钱在更新软件之上。而在香港,有不少学校亦碍于经费问题,在软件购置时态度非常审慎。碰巧这一系列病毒在较旧的扫毒软件未能侦测、或可以侦测但不能清除[4],使扫毒软件无形中不能发挥应有的功效。

与病毒无关的问题可能

这个问题最初其实的确是打印系统的问题。这个问题的发生有几个可能:

  1. 因为有外间用户透过IP地址传送打印伫列的内容
  2. 打印机的驱动程式过时
  3. 局域网内采用了过时版本的samba服务器而产生

[5][6]

但在近年因为病毒问题影响下,这些问题的可能有机会被忽略。

参考

  1. ^ 赛门铁克 > Security Response > W32.Looked
  2. ^ 赛门铁克 > Security Response > W32.Looked.P
  3. ^ 顺子学园 > 电脑资讯学系 >病毒追追追 > 《注意》‘远端旧版文件’攻击打印机[失效链接]
  4. ^ PALMisLIFE 讨论区 » 网络相关讨论 » 〔求助〕局域网络新病毒??
  5. ^ OIKOS生活网讨论区首页 » Mac OS X » Windows共享打印机打印档案名称为‘远端旧版文件’? 互联网档案馆的存档,存档日期2007-03-11.
  6. ^ webservertalk.com > Archive > Linux Miscelleneous > November 2004 > Printer Status with Samba

外部链接

  •  蓝色小铺:网络安全讨论版:打印机服务器的错误---远端旧版文件
版权声明:本文由北城百科网创作,转载请联系管理获取授权,未经容许转载必究。https://www.beichengjiu.com/computerscience/339130.html

显示全文

取消

感谢您的支持,我会继续努力的!

扫码支持
支付宝扫一扫赏金或者微信支付5毛钱,阅读全文

打开微信扫一扫,即可进行阅读全文哦


上一篇:信息鉴识
下一篇:虚拟系统
相关推荐
爱淘宝