諾頓病毒週報 -- 小心VBS.Runauto.G在您的電腦中開啟“後門”

諾頓病毒週報 2009年8月31日
小心VBS.Runauto.G在您的電腦中開啟“後門”
(作者：賽門鐵克中國安全回應中心)

病毒名稱：VBS.Runauto.G
病毒類型：蠕蟲
受影響的作業系統：Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003

病毒分析：

近期我們發現了一個開啟電腦後門的蠕蟲－VBS.Runauto.G。該蠕蟲會採用一些手段來破壞防毒軟體的運行以及隱藏它的真實企圖。

首先，VBS.Runauto.G將自身複製到系統目錄System32下，並命名為regedit.sys。接下來，它會釋放出後門程式win.exe到Windows目錄並運行。win.exe會開啟電腦後門，自動連接到指定功能變數名稱如rahmaa.[REMOVED].info和alrefai.[REMOVED].biz。

隨後VBS.Runauto.G將修改登錄機碼，添加大量的登錄表(registry key)，以達到以下目的：

• 使自身可隨系統自動開啟；
• 通過映射劫持 = Image File Execution Option (IFEO) ，它是透過 Registry Key 的方式，把原來假設您要執行 ABC 這個程式，改成執行DEF 的程式，而 DEF 可能就是惡意程式。阻止包括防毒軟體在內的多種程式的運行，令防毒軟體失效；
• 使用戶無法查看隱藏檔和附檔名；
• 令該蠕蟲可自動播放。

最後， VBS.Runauto.G為了迷惑使用者，會啟動檔案總管並顯示蠕蟲初始運行時所在的資料夾，使用戶誤以為該蠕蟲的目的只是打開資料夾，而忽略了其真實企圖—開啟您電腦的後門。

VBS.Runauto.G主要通過行動儲存裝置和網路共用這兩種途徑傳播。除複製自身以外，蠕蟲還會同時複製對應的autorun.inf，以進行自動播放。

諾頓安全專家建議：

• 諾頓安全軟體可防止自身檔被篡改或進程被中止，為電腦提供持續有效的防護。
• 禁用儲存裝置的「自動開啟」功能。
• 謹慎開啟其它電腦的網路共用檔。
• 沒有安裝安全軟體的使用者可以到 http://tw.symantecstore.com下載諾頓360（3.0版）、諾頓網路安全大師2009或諾頓防毒2009試用版。
• 使用諾頓2006版本及之後產品的現有使用者，可以免費將產品升級至諾頓2009版本，升級網址 http://www.symantec.com.tw/nuc。