跳转到内容

远端旧版文件问题

维基百科,自由的百科全书

远端旧版文件(Remote Downlevel Document)问题是一个发生于微软Windows系列操作系统的一个保安问题。问题与一款名为“Looked”及其变种的蠕虫有关。

感染途径

不详

感染过程

Looked

Looked于2004年12月17日被发现。根据赛门铁克的报告[1],当病毒被执行时,会发生下列的各项事情:

  1. 立即把ZoneAlarm防火墙并下列执行中的程式关掉:
    1. Ravmon.exe
    2. EGHOST.EXE
    3. MAILMON.EXE
    4. KAVPFW.EXE
    5. IPARMOR.EXE
  2. 在受病毒感染的档案所在位置生成 virDll.dll
  3. 把病毒档 virDll.dll 尝试注入Internet Explorer
  4. 从 www.lookde5.com 下载一个名为“1.exe”的档案。这个档案其实是用来盗取宿主上寄存的密码。
  5. 从 C Drive 开始搜索所有硬盘内的执行档,并把搜寻到的执行档感染。(但位于系统目录及特定录的档案则不在感染之列,详见赛门铁克的网页)

Looked.P

Looked.P于2006年7月被发现。根据赛门铁克的报告[2],当病毒被执行时,会发生下列的各项事情:

  1. 把自己复制到Windows的系统目录(即位于 %Windir% 的目录)
  2. 把病毒 vDll.dll 下载到所在的目录 (比较原版的 virDll.dll)
  3. 检查机码 HKLM\SOFTWARE\Soft\DownloadWWW 是否存在,若有的话,再检查"auto"值的资料是否为"1"。
  4. 若以上三个状况都成立,病毒会结束;否则的话,就会在宿主建立上述机码。
  5. 在 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 这机码加上 "load" = "%Windir%\rundl132.exe" 的字串值,好让系统在重新启动时,会把病毒载入系统内。
  6. 尝试关闭 Kingsoft AntiVirus Service 的运作。
  7. 与病毒的原版一样把 vDll.dll 尝试注入Internet Explorer,但新版亦会同时注入Explorer内。
  8. 从 C Drive 开始搜索所有硬盘内的执行档,并把搜寻到的执行档感染。(但位于系统目录及特定录的档案则不在感染之列,详见赛门铁克的网页)

其他可能

  • W32.HLLW.Gaobot:打印出来的不是日期,而是乱码[3]

解决办法

  • 把局域网内没有连接打印机的电脑的Printer Spooler功能停止。
  • 把print server的netbeui关掉,用tcp/ip打印。
  • 在最坏情况,可能要把所有受感染的电脑重灌。

软件更新问题

  • 一般用户及公司过去只有留意有没有更新病毒定义档,而并未有花钱在更新软件之上。而在香港,有不少学校亦碍于经费问题,在软件购置时态度非常审慎。碰巧这一系列病毒在较旧的扫毒软件未能侦测、或可以侦测但不能清除[4],使扫毒软件无形中不能发挥应有的功效。

与病毒无关的问题可能

这个问题最初其实的确是打印系统的问题。这个问题的发生有几个可能:

  1. 因为有外间用户透过IP地址传送打印伫列的内容
  2. 打印机的驱动程式过时
  3. 局域网内采用了过时版本的samba服务器而产生

[5][6]

但在近年因为病毒问题影响下,这些问题的可能有机会被忽略。

参考

  1. ^ 賽門鐵克 > Security Response > W32.Looked. [2006-09-23]. (原始内容存档于2015-10-26). 
  2. ^ 賽門鐵克 > Security Response > W32.Looked.P. [2006-09-23]. (原始内容存档于2016-03-06). 
  3. ^ 顺子学园 > 电脑资讯学系 >病毒追追追 > 《注意》‘远端旧版文件’攻击打印机[永久失效链接]
  4. ^ PALMisLIFE 討論區 » 網路相關討論 » 〔求助〕區域網路新病毒??. [2006-09-23]. (原始内容存档于2005-12-01). 
  5. ^ OIKOS生活网讨论区首页 » Mac OS X » Windows共享打印机打印档案名称为‘远端旧版文件’? 互联网档案馆存档,存档日期2007-03-11.
  6. ^ webservertalk.com > Archive > Linux Miscelleneous > November 2004 > Printer Status with Samba. [2006-09-23]. (原始内容存档于2007-09-29). 

外部链接