跳至內容

遠端舊版文件問題

維基百科,自由的百科全書

遠端舊版文件(Remote Downlevel Document)問題是一個發生於微軟Windows系列作業系統的一個保安問題。問題與一款名為「Looked」及其變種的蠕蟲有關。

感染途徑

不詳

感染過程

Looked

Looked於2004年12月17日被發現。根據賽門鐵克的報告[1],當病毒被執行時,會發生下列的各項事情:

  1. 立即把ZoneAlarm防火牆並下列執行中的程式關掉:
    1. Ravmon.exe
    2. EGHOST.EXE
    3. MAILMON.EXE
    4. KAVPFW.EXE
    5. IPARMOR.EXE
  2. 在受病毒感染的檔案所在位置生成 virDll.dll
  3. 把病毒檔 virDll.dll 嘗試注入Internet Explorer
  4. 從 www.lookde5.com 下載一個名為「1.exe」的檔案。這個檔案其實是用來盜取宿主上寄存的密碼。
  5. 從 C Drive 開始搜索所有硬碟內的執行檔,並把搜尋到的執行檔感染。(但位於系統目錄及特定錄的檔案則不在感染之列,詳見賽門鐵克的網頁)

Looked.P

Looked.P於2006年7月被發現。根據賽門鐵克的報告[2],當病毒被執行時,會發生下列的各項事情:

  1. 把自己複製到Windows的系統目錄(即位於 %Windir% 的目錄)
  2. 把病毒 vDll.dll 下載到所在的目錄 (比較原版的 virDll.dll)
  3. 檢查機碼 HKLM\SOFTWARE\Soft\DownloadWWW 是否存在,若有的話,再檢查"auto"值的資料是否為"1"。
  4. 若以上三個狀況都成立,病毒會結束;否則的話,就會在宿主建立上述機碼。
  5. 在 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 這機碼加上 "load" = "%Windir%\rundl132.exe" 的字串值,好讓系統在重新啟動時,會把病毒載入系統內。
  6. 嘗試關閉 Kingsoft AntiVirus Service 的運作。
  7. 與病毒的原版一樣把 vDll.dll 嘗試注入Internet Explorer,但新版亦會同時注入Explorer內。
  8. 從 C Drive 開始搜索所有硬碟內的執行檔,並把搜尋到的執行檔感染。(但位於系統目錄及特定錄的檔案則不在感染之列,詳見賽門鐵克的網頁)

其他可能

  • W32.HLLW.Gaobot:列印出來的不是日期,而是亂碼[3]

解決辦法

  • 把局域網內沒有連接打印機的電腦的Printer Spooler功能停止。
  • 把print server的netbeui關掉,用tcp/ip列印。
  • 在最壞情況,可能要把所有受感染的電腦重灌。

軟件更新問題

  • 一般用戶及公司過去只有留意有沒有更新病毒定義檔,而並未有花錢在更新軟件之上。而在香港,有不少學校亦礙於經費問題,在軟件購置時態度非常審慎。碰巧這一系列病毒在較舊的掃毒軟件未能偵測、或可以偵測但不能清除[4],使掃毒軟件無形中不能發揮應有的功效。

與病毒無關的問題可能

這個問題最初其實的確是列印系統的問題。這個問題的發生有幾個可能:

  1. 因為有外間用戶透過IP位址傳送列印佇列的內容
  2. 打印機的驅動程式過時
  3. 局域網內採用了過時版本的samba伺服器而產生

[5][6]

但在近年因為病毒問題影響下,這些問題的可能有機會被忽略。

參考

  1. ^ 賽門鐵克 > Security Response > W32.Looked. [2006-09-23]. (原始內容存檔於2015-10-26). 
  2. ^ 賽門鐵克 > Security Response > W32.Looked.P. [2006-09-23]. (原始內容存檔於2016-03-06). 
  3. ^ 順子學園 > 電腦資訊學系 >病毒追追追 > 《注意》『遠端舊版文件』攻擊印表機[永久失效連結]
  4. ^ PALMisLIFE 討論區 » 網路相關討論 » 〔求助〕區域網路新病毒??. [2006-09-23]. (原始內容存檔於2005-12-01). 
  5. ^ OIKOS生活網討論區首頁 » Mac OS X » Windows共享印表機列印檔案名稱為『遠端舊版文件』? 網際網路檔案館存檔,存檔日期2007-03-11.
  6. ^ webservertalk.com > Archive > Linux Miscelleneous > November 2004 > Printer Status with Samba. [2006-09-23]. (原始內容存檔於2007-09-29). 

外部連結