远端旧版文件问题
远端旧版文件(Remote Downlevel Document)问题是一个发生于微软Windows系列作业系统的一个保安问题。问题与一款名为“Looked”及其变种的蠕虫有关。
感染途径
不详
感染过程
Looked
Looked于2004年12月17日被发现。根据赛门铁克的报告[1],当病毒被执行时,会发生下列的各项事情:
- 立即把ZoneAlarm防火墙并下列执行中的程式关掉:
- Ravmon.exe
- EGHOST.EXE
- MAILMON.EXE
- KAVPFW.EXE
- IPARMOR.EXE
- 在受病毒感染的档案所在位置生成 virDll.dll
- 把病毒档 virDll.dll 尝试注入Internet Explorer。
- 从 www.lookde5.com 下载一个名为“1.exe”的档案。这个档案其实是用来盗取宿主上寄存的密码。
- 从 C Drive 开始搜索所有硬碟内的执行档,并把搜寻到的执行档感染。(但位于系统目录及特定录的档案则不在感染之列,详见赛门铁克的网页)
Looked.P
Looked.P于2006年7月被发现。根据赛门铁克的报告[2],当病毒被执行时,会发生下列的各项事情:
- 把自己复制到Windows的系统目录(即位于 %Windir% 的目录)
- 把病毒 vDll.dll 下载到所在的目录 (比较原版的 virDll.dll)
- 检查机码 HKLM\SOFTWARE\Soft\DownloadWWW 是否存在,若有的话,再检查"auto"值的资料是否为"1"。
- 若以上三个状况都成立,病毒会结束;否则的话,就会在宿主建立上述机码。
- 在 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 这机码加上 "load" = "%Windir%\rundl132.exe" 的字串值,好让系统在重新启动时,会把病毒载入系统内。
- 尝试关闭 Kingsoft AntiVirus Service 的运作。
- 与病毒的原版一样把 vDll.dll 尝试注入Internet Explorer,但新版亦会同时注入Explorer内。
- 从 C Drive 开始搜索所有硬碟内的执行档,并把搜寻到的执行档感染。(但位于系统目录及特定录的档案则不在感染之列,详见赛门铁克的网页)
其他可能
- W32.HLLW.Gaobot:列印出来的不是日期,而是乱码[3]。
解决办法
- 把局域网内没有连接打印机的电脑的Printer Spooler功能停止。
- 把print server的netbeui关掉,用tcp/ip列印。
- 在最坏情况,可能要把所有受感染的电脑重灌。
软件更新问题
- 一般用户及公司过去只有留意有没有更新病毒定义档,而并未有花钱在更新软件之上。而在香港,有不少学校亦碍于经费问题,在软件购置时态度非常审慎。碰巧这一系列病毒在较旧的扫毒软件未能侦测、或可以侦测但不能清除[4],使扫毒软件无形中不能发挥应有的功效。
与病毒无关的问题可能
这个问题最初其实的确是列印系统的问题。这个问题的发生有几个可能:
- 因为有外间用户透过IP位址传送列印伫列的内容
- 打印机的驱动程式过时
- 局域网内采用了过时版本的samba伺服器而产生
但在近年因为病毒问题影响下,这些问题的可能有机会被忽略。
参考
- ^ 賽門鐵克 > Security Response > W32.Looked. [2006-09-23]. (原始内容存档于2015-10-26).
- ^ 賽門鐵克 > Security Response > W32.Looked.P. [2006-09-23]. (原始内容存档于2016-03-06).
- ^ 顺子学园 > 电脑资讯学系 >病毒追追追 > 《注意》‘远端旧版文件’攻击印表机[永久失效链接]
- ^ PALMisLIFE 討論區 » 網路相關討論 » 〔求助〕區域網路新病毒??. [2006-09-23]. (原始内容存档于2005-12-01).
- ^ OIKOS生活网讨论区首页 » Mac OS X » Windows共享印表机列印档案名称为‘远端旧版文件’? 互联网档案馆的存档,存档日期2007-03-11.
- ^ webservertalk.com > Archive > Linux Miscelleneous > November 2004 > Printer Status with Samba. [2006-09-23]. (原始内容存档于2007-09-29).