遠端舊版文件問題
遠端舊版文件(Remote Downlevel Document)問題是一個發生於微軟Windows系列作業系統的一個保安問題。問題與一款名為「Looked」及其變種的蠕蟲有關。
感染途徑
不詳
感染過程
Looked
Looked於2004年12月17日被發現。根據賽門鐵克的報告[1],當病毒被執行時,會發生下列的各項事情:
- 立即把ZoneAlarm防火牆並下列執行中的程式關掉:
- Ravmon.exe
- EGHOST.EXE
- MAILMON.EXE
- KAVPFW.EXE
- IPARMOR.EXE
- 在受病毒感染的檔案所在位置生成 virDll.dll
- 把病毒檔 virDll.dll 嘗試注入Internet Explorer。
- 從 www.lookde5.com 下載一個名為「1.exe」的檔案。這個檔案其實是用來盜取宿主上寄存的密碼。
- 從 C Drive 開始搜索所有硬碟內的執行檔,並把搜尋到的執行檔感染。(但位於系統目錄及特定錄的檔案則不在感染之列,詳見賽門鐵克的網頁)
Looked.P
Looked.P於2006年7月被發現。根據賽門鐵克的報告[2],當病毒被執行時,會發生下列的各項事情:
- 把自己複製到Windows的系統目錄(即位於 %Windir% 的目錄)
- 把病毒 vDll.dll 下載到所在的目錄 (比較原版的 virDll.dll)
- 檢查機碼 HKLM\SOFTWARE\Soft\DownloadWWW 是否存在,若有的話,再檢查"auto"值的資料是否為"1"。
- 若以上三個狀況都成立,病毒會結束;否則的話,就會在宿主建立上述機碼。
- 在 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 這機碼加上 "load" = "%Windir%\rundl132.exe" 的字串值,好讓系統在重新啟動時,會把病毒載入系統內。
- 嘗試關閉 Kingsoft AntiVirus Service 的運作。
- 與病毒的原版一樣把 vDll.dll 嘗試注入Internet Explorer,但新版亦會同時注入Explorer內。
- 從 C Drive 開始搜索所有硬碟內的執行檔,並把搜尋到的執行檔感染。(但位於系統目錄及特定錄的檔案則不在感染之列,詳見賽門鐵克的網頁)
其他可能
- W32.HLLW.Gaobot:列印出來的不是日期,而是亂碼[3]。
解決辦法
- 把局域網內沒有連接打印機的電腦的Printer Spooler功能停止。
- 把print server的netbeui關掉,用tcp/ip列印。
- 在最壞情況,可能要把所有受感染的電腦重灌。
軟件更新問題
- 一般用戶及公司過去只有留意有沒有更新病毒定義檔,而並未有花錢在更新軟件之上。而在香港,有不少學校亦礙於經費問題,在軟件購置時態度非常審慎。碰巧這一系列病毒在較舊的掃毒軟件未能偵測、或可以偵測但不能清除[4],使掃毒軟件無形中不能發揮應有的功效。
與病毒無關的問題可能
這個問題最初其實的確是列印系統的問題。這個問題的發生有幾個可能:
- 因為有外間用戶透過IP位址傳送列印佇列的內容
- 打印機的驅動程式過時
- 局域網內採用了過時版本的samba伺服器而產生
但在近年因為病毒問題影響下,這些問題的可能有機會被忽略。
參考
- ^ 賽門鐵克 > Security Response > W32.Looked. [2006-09-23]. (原始内容存档于2015-10-26).
- ^ 賽門鐵克 > Security Response > W32.Looked.P. [2006-09-23]. (原始内容存档于2016-03-06).
- ^ 順子學園 > 電腦資訊學系 >病毒追追追 > 《注意》『遠端舊版文件』攻擊印表機[永久失效連結]
- ^ PALMisLIFE 討論區 » 網路相關討論 » 〔求助〕區域網路新病毒??. [2006-09-23]. (原始内容存档于2005-12-01).
- ^ OIKOS生活網討論區首頁 » Mac OS X » Windows共享印表機列印檔案名稱為『遠端舊版文件』? 互联网档案馆的存檔,存档日期2007-03-11.
- ^ webservertalk.com > Archive > Linux Miscelleneous > November 2004 > Printer Status with Samba. [2006-09-23]. (原始内容存档于2007-09-29).