對付 Backdoor.D.WinSys 木馬的竅門
作者:費爾安全實驗室(原創), 日期:2003/11/14. 若轉載請註明引自"費爾安全實驗室"
最近網路中總是充斥著一種網頁木馬 Backdoor.D.WinSys,此木馬是以隱藏在網頁中來傳播的,並且主要是在一些音樂、電影網站中,只要使用者存取這種網頁就會自動下載並生成隱藏檔案 WINSYS.cerWINSYS.vbs 木馬檔案,接著會執行它,並且會在下次電腦啟動時再次自動執行,由於隱藏在網頁中所以流傳甚廣,危害很大。不過費爾托斯特安全使用者只要平時注意開啟即時防護一般都可以有效阻止它的感染。但目前有一些新的傳播形式,可以逃過檢查,現在告訴大家一個竅門,使用此方法不但可以阻止這個木馬而且可以極為有效的阻止這一類木馬的感染和傳播(費爾托斯特安全的未註冊版使用者雖然在發現此木馬時不顯示具體的名稱,但使用下方的方法設定後同樣可以起到防護作用):

費爾托斯特安全使用者解決辦法(未註冊版同樣有效):

  1. 開啟費爾托斯特安全的「檔案」面板
  2. 在左邊的「即時掃瞄檔案類型」中分別手工新增 PL、HTR、HTA、CER 檔案類型
  3. 重新啟動費爾托斯特安全(停止托斯特->啟動托斯特)
這樣,當再存取到含有這類破壞代碼的網頁時就會被費爾托斯特安全即時攔截到 HTML.Shell.Virus 病毒並警示,從而阻止它的執行。

普通使用者解決辦法:

  1. 先手工把這個 C:\$NtuninstallqXXXXXX$ 目錄整個刪除,這裡要注意這個目錄的一般並不固定,但它的總體形式一般總是「$NtuninstallqXXXXXX」的形式。如果您在資源管理中看不到也許是因為您的系統沒有開啟「檢視隱藏檔案」的設定,請再這樣設定一下:
    1. 開啟「我的電腦」
    2. 依次開啟菜單「工具/資料夾選項」
    3. 然後在彈出的「資料夾選項」對話框中切換到「檢視」頁
    4. 在下方的「進階設定」清單框中改變「不顯示隱藏的檔案和資料夾」選項為「顯示所有檔案和資料夾」選項
    5. 最後點選「確定」
    做了這幾步後您再找一下這個形式的目錄,如果找到就把它整個刪除掉
  2. 在「開始/執行」中執行 regedit.exe 命令開啟註冊表編譯器,然後直接 F3 鍵開啟搜索視窗,在中間輸入「winsys.cer」並搜索。這樣只要在註冊表中發現有此內容的您全部把它刪除掉,直到搜索完畢找不到有關值。
  3. 在未聯接到 Internet 的情況下開啟IE,並依次開啟「工具/Internet選項/刪除檔案」,然後在彈出的對話框中選擇「刪除所有離線內容」選項,然後點選「確定」。做完這一步之後先別著急關閉這個「Internet選項」對話框,請接著按下方的步驟繼續做
  4. 檢視「Internet選項」對話框中「主頁」處的位址,如果它不是您自己設定的網站主頁或是一個非常陌生的網址則記下這個網址(只記 http:// 之後的內容,可以用滑鼠選擇後使用 Ctrl+C 鍵直接複製),然後按照第2步的方法從註冊表全部搜索出並刪除有關這個網址的註冊表鍵或值
這樣就可以刪除掉此木馬了。


* 作者:費爾安全實驗室(原創), 日期:2003/11/14. 若轉載請註明引自"費爾安全實驗室" *