簡介
更新: 2007 年 3 月 1 日 8:51:02 AM
類型: Spyware
風險影響: Medium
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
行為
Spyware.Salus 可監控並記錄用戶的鍵盤操作、密碼、剪貼簿文本、打開視窗和 Web 活動,包括訪問過的網頁和上網花費的時間量。
2007 年 2 月 12 日之前的病毒定義會將此風險檢測為 Hacktool.Salus。
防護
病毒定義(每日 LiveUpdate™) 2004 年 12 月 10 日
病毒定義(每周 LiveUpdate™) 2004 年 12 月 15 日
病毒定義(智慧型更新程式) 2004 年 12 月 10 日
病毒定義(LiveUpdate™ Plus) 2004 年 12 月 10 日
更新: 2007 年 3 月 1 日 8:51:02 AM
類型: Spyware
風險影響: Medium
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
執行此程式時,它會創建下列檔案:
【用戶定義的安裝路徑】\Mskwlns.exe
【用戶定義的安裝路徑】\Install.log
【用戶定義的安裝路徑】\unwise.exe
%System%\MskWlkbH.dll
%System%\WKSi\【date】.udg
該程式隨後會創建下列註冊表子項:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Run\MskwIns
HKEY_LOCAL_MACHINE\Software\JLlobet\M&S&K&W\Settings\Auto
HKEY_LOCAL_MACHINE\Software\JLlobet\M&S&K&W\Settings\Clipboard
HKEY_LOCAL_MACHINE\Software\JLlobet\M&S&K&W\Settings\Date
HKEY_LOCAL_MACHINE\Software\JLlobet\M&S&K&W\Settings\Idioma
HKEY_LOCAL_MACHINE\Software\JLlobet\M&S&K&W\Settings\Numdays
HKEY_LOCAL_MACHINE\Software\JLlobet\M&S&K&W\Settings\Teclado
HKEY_LOCAL_MACHINE\Software\JLlobet\M&S&K&W\Settings\WordActiv
該程式還會創建下列註冊表項,以便在 Windows 隨時啟動時執行。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"MskWins" = "C:\【用戶定義的安裝路徑】\MskwIns.exe"
該程式然後可在受感染計算機上執行下列操作:
記錄鍵盤操作
記錄視窗開啟
記錄 Internet 活動
記錄密碼
以隱藏模式操作
解決辦法
下列說明適用於所有當前和最近的賽門鐵克防病毒產品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品)。 禁用系統還原 (Windows Me/XP)。更新病毒定義。使用添加/刪除程式實用程式卸載 Salus 試用版本。 運行全面系統掃描。刪除添加到註冊表的任何值。 有關每個步驟的詳細信息,請參閱下列說明。 1. 禁用系統還原 (Windows Me/XP) 如果正在運行 Windows Me 或 Windows XP,建議您暫時關閉系統還原功能。 默認情況下啟用此功能,一旦計算機中的檔案被破壞,Windows Me/XP 可使用此功能將其還原。 如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。 Windows 禁止包括防病毒程式在內的外部程式修改系統還原。 因此,防病毒程式或工具無法清除 System Restore 資料夾中的威脅。 這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其他位置的受感染檔案。 此外,病毒掃描也可能在 System Restore 資料夾中檢測到威脅,即使您已清除此威脅。 有關如何關閉系統還原功能的說明,請參閱 Windows 文檔或下列文章之一: 如何禁用或啟用 Windows Me 系統還原http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenDocument&;src=sec_doc_nam如何關閉或打開 Windows XP 系統還原http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&;src=sec_doc_nam 注意:當您完全完成防毒步驟,並確定威脅已清除後,請按照上述文檔中的說明重新啟用系統還原。 有關其他信息以及禁用 Windows Me 系統還原功能的其他方法,請參閱 Microsoft 知識庫文章:病毒防護工具無法清除 _Restore 資料夾中受感染的檔案http://support.microsoft.com/support/kb/articles/Q263/4/55.ASP(文章編號:263455)。 2. 更新病毒定義 賽門鐵克安全回響中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。 可以通過兩種方式獲得最新的病毒定義: 運行 LiveUpdate,這是獲得病毒定義最簡便的方法。使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義每天發布一次。 您應當從賽門鐵克安全回響中心網站下載定義並手動安裝它們。 要確定是否可通過智慧型更新程式獲得用於此威脅的定義,請參閱病毒定義(智慧型更新程式)http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-011714-4051-99&;tabid=3#protection。 最新的智慧型更新程式病毒定義可由此處獲得:智慧型更新程式病毒定義http://securityresponse.symantec.com/avcenter/defs.download.html。 有關詳細指導,請參閱文檔:如何使用智慧型更新程式更新病毒定義檔案http://service1.symantec.com/SUPPORT/nav.nsf/docid/1998082013035306?OpenDocument&;src=sec_doc_nam。 3. 卸載安全風險 此安全風險包括一個卸載小程式。 為了卸載此安全風險,請按下列說明完成操作: 單擊“開始”>“設定”>“控制臺”或“開始”>“控制臺”(取決於具體的作業系統)。 在“控制臺”視窗中,雙擊“添加/刪除程式”。 僅適用於 Windows Me:如果未顯示“添加/刪除程式”圖示,請單擊“...查看所有控制臺選項”。 單擊 Salus 試用版。 注意:可能需要使用滾動條來查看整個列表。 單擊“添加/刪除”、“更改/刪除”或“刪除”(取決於具體的作業系統)。 按照提示進行操作。 注意:在運行添加/刪除程式小程式後,所有檔案可能都已刪除。 想要運行全面系統掃描以確保已刪除所有檔案。 但是,在使用添加/刪除程式後,可能不會檢測到任何檔案。4. 運行全面系統掃描 啟動賽門鐵克防病毒程式,並確保已將其配置為掃描所有檔案。運行全面系統掃描。如果檢測到任何檔案,請按照防病毒程式所顯示的說明操作。 要點:如果無法啟動賽門鐵克防病毒產品或該產品報告其無法刪除檢測到的檔案,則可能需要停止運行此風險,以便刪除檔案。 要完成此操作,請在安全模式下運行掃描。 有關說明,請參閱文檔:如何以安全模式啟動計算機http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406?OpenDocument&;src=sec_doc_nam。 以安全模式重新啟動後,再次運行掃描。 刪除檔案後,以正常模式重新啟動計算機,然後繼續執行下一部分。 計算機重新啟動時可能會顯示警告訊息,因為此時可能尚未完全清除威脅。 可以忽略這些訊息並單擊“確定”。 徹底完成清除操作之後,重新啟動計算機時將不會出現這些訊息。 所顯示訊息可能會如下所示: 標題:【檔案路徑】 訊息正文:Windows 無法找到 【檔案名稱】。 請確保鍵入了正確的名稱,然後重試。 要搜尋檔案,請單擊“開始”按鈕,然後單擊“搜尋”。 5. 從註冊表中刪除值 要點:賽門鐵克強烈建議在對註冊表進行任何更改之前先進行備份。 錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。 應只修改指定的子項。 有關說明,請參閱文檔:如何備份 Windows 註冊表http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617?OpenDocument&;src=sec_doc_nam。 單擊“開始”>“運行”。鍵入 regedit,然後單擊“確定”。 注意:如果無法打開註冊表編輯器,則威脅可能已經修改了註冊表以防止進入註冊表編輯器。 安全回響中心已開發出了一種工具http://securityresponse.symantec.com/avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html以解決此問題。下載並運行此工具http://securityresponse.symantec.com/avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html,然後繼續防毒。 導航到下列註冊表項並將其刪除: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"MskWins" = "C:\【用戶定義的安裝路徑】\MskwIns.exe" 退出註冊表編輯器。
