諾頓病毒週報 -- 木馬Trojan.Interrupdate監控網路資料包，使安全軟體無法更新

(作者：賽門鐵克中國安全回應中心)



病毒名稱：Trojan.Interrupdate

病毒類型：木馬

受影響的作業系統：Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003

病毒分析：
攻擊者將Trojan.Interrupdate木馬與監控網路資料套件的工具重新製作成為一個安裝程式。該安裝程式執行時會把所含的檔案解開到一個暫存檔案夾中，並且自動執行NetFilter.exe檔案，這個檔案目前會被檢測為Trojan.Interrupdate 木馬。在此同時，病毒會將原來的檔案刪除以達到將自己隱藏的目的。

隨後，該木馬會將解開來的檔複製到系統目錄，並把用於監控網路資料的輔助工具註冊為服務。同時，木馬會新增登錄表令其可在系統啟動的時候自動啟動。

通過安裝好的輔助工具，Trojan.Interrupdate可截獲使用者電腦向外發出的網路資料包裡的內容。當它發現資料包裡含有與防毒軟體病毒庫更新相關的字串時就會把資料包丟棄，從而造成受感染電腦中的防毒軟體無法完成更新。

諾頓安全專家建議：

• 選擇諾頓安全軟體更新速度較快，每隔 5 到 15 分鐘就自動下載最新病毒定義檔和產品更新，從而有效保護電腦免受變化多端的病毒攻擊。
• 沒有安裝安全軟體的使用者可以到 http://tw.symantecstore.com下載諾頓360（3.0版）、諾頓網路安全大師2009或諾頓防毒2009試用版。
• 使用諾頓2006版本及之後產品的現有使用者，可以免費將產品升級至諾頓2009版本，升級網址http://www.symantec.com.tw/nuc。