利用gif副檔名掩飾蠕蟲真身 Win32/Neeris.A將對外輸出主機資訊

面對用家對預防病毒的驚覺性提高，部份黑客在散播玲毒時更需花心思策劃，其中據防毒軟件高 ESET NOD32 16 日表示，最新發現一個被命名為 Win32/Neeris.A 的檔案，其披著 gif 的副檔名，但內裡卻其實是一個 PE 檔案，目的是為了掩飾真身，讓用家減低警覺性。

據 ESET NOD32 指出， Win32/Neeris.A 蠕蟲是一個徹頭徹尾的 PE 檔案，運行以後在系統資料夾和暫存資料夾中生成一系列可執行檔案，並改寫註冊表鍵值來完成自身的開機即啟動的設定。

一旦受到該蠕蟲入侵，病毒會嘗試修改首頁，並在背景連上網路，下載名稱為 916914836.gif 和 452637691.gif 的檔案伺機運行，並且會私下建立與遠端 IRC 伺服器的連接，對外傳輸大量系統主機的資訊、並查詢著其他的主機來試圖傳播。

如不慎誤遭此蠕蟲入侵，用家可利用防毒軟件，或是以手動處理清除，首先，用家需在安全模式下進入 Windows 作業系統，然後到到路徑 C:\Documents and Settings\ [ UserName ] \Local Settings\Temp\ 刪除 eraseme_83102.exe 檔案，再到 C:\Windows 或者 C:\Winnt 路徑下刪除 xanga.exe 以及 iep.exe 檔案。

之後，用家可在「開始」的「執行」中輸入 ”regedit.exe” 並按下確認，然後系統會開啟註冊表編輯器，用家請刪除以下註冊表鍵值：

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
以及以下鍵值下面的子鍵
[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]
　　　　　 Service Noits = " xanga.exe "
[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run ]
　　　　　 Service Noits = " xanga.exe "
[ HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel ]
　　　　　 HomePage = 0x00000001

然後使用 CCleaner 之類的清理工具來清理殘留或破損的註冊表資訊，再使用 System Repair Engineer 來修復所列舉的其它錯誤便可。

[align=center][img]http://www.hkepc.com/database/images/2009/09/640x480/09175453931854992206.jpg[/img][/align]