分類: 資安檢索

Visits: 451

病毒 movemenoreg.vbs 和之前的 Kavo 類似!

ＵＳＢ：
一、可以發現隨身碟內有 .lnk 檔案。
二、遇有 WindowsServices 資料夾，資料夾內有：
　helper.vbs
　installer.vbs
　movemenoreg.vbs
　WindowsServices.exe
　所以.vbs原始碼可參閱：https://www.bleepingcomputer.com/forums/t/619850/virus-creates-shortcuts-on-my-pen-drive-vbs-virus/
三、使用者原有的資料與資料夾，皆會被移至 _ 資料夾，並隱藏。

ＰＣ：
一、執行=>shell:startup 。
二、檢查系統啟動目錄是否有”helper”捷徑,若有代表該電腦已被植入程式。

整體功能主要是將 WindowsServices 中的三個檔案複製到 %AppData%\WindowsServices 資料夾中，使電腦成為帶原者。而成為帶原者的電腦，將會利用腳本注入病毒至連接的卸除式裝置（Removable Device）中。而被感染的卸除式裝置再感染其他電腦，因而災情擴大。

重點提醒：打開USB之後的USB捷徑千萬不要點！

Visits: 6004

資安公司Nightwatch Cybersecurity研究人員發現，超過40種型號的華碩路由器存在數個CSRF漏洞和JSONP綁架漏洞，駭客可以在用戶不知情情況下，利用預設帳密登入路由器，來更改設定，或利用路由器XML資料，查看路由器的Wi-Fi密碼。目前，華碩已經發布了v3.0.0.4.380.7378版本以上的更新檔，來修補CSRF漏洞，但是JSONP綁架漏洞尚未有任何修補資訊。

https://wwws.nightwatchcybersecurity.com/2017/05/09/multiple-vulnerabilities-in-asus-routers/

安全性修正
– 修正 CVE-2017-5891.
– 修正 CVE-2017-5892.
– 修正 CVE-2017-6547.
– 修正 CVE-2017-6549.
– 修正 CVE-2017-6548.

受影響的路由器型號:

RT-AC51U
RT-AC52U B1
RT-AC53
RT-AC53U
RT-AC55U
RT-AC56R
RT-AC56S
RT-AC56U
RT-AC66U
RT-AC68U
RT-AC68UF
RT-AC66R
RT-AC66U
RT-AC66W
RT-AC68W
RT-AC68P
RT-AC68R
RT-AC68U
RT-AC87R
RT-AC87U
RT-AC88U
RT-AC1200
RT-AC1750
RT-AC1900P
RT-AC3100
RT-AC3200
RT-AC5300
RT-N11P
RT-N12 (D1 version only)
RT-N12+
RT-N12E
RT-N16
RT-N18U
RT-N56U
RT-N66R
RT-N66U (B1 version only)
RT-N66W
RT-N300
RT-N600
RT-4G-AC55U

Visits: 5077

☆關閉 WSCRIPT 可能會對某些軟體的應用上會有些功能上的影響唷。☆

打開 REGEDIT
找到 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
增加 DWORD ENABLED 值為 0

如果修改成功在 [執行] 處輸入 Wscript [Enter] 應該會出現一個停用視窗。

如果影響到軟體上的應用，那就把　ENABLED 值改為 1 即可。

＝＝＝ StopWscript.reg ＝＝＝
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
“Enabled”=dword:00000000

＝＝＝ StartWscript.reg ＝＝＝
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
“Enabled”=dword:00000001

Visits: 5211

5/13開始爆出的「WanaCrypt0r 2.0」勒索病毒主要是針對 Windows 系統的 SMB 445 port 漏洞攻擊，而且它採主動攻擊方式，只要電腦連網就會攻擊。台灣更是名列攻擊榜上第二名！ 被攻擊的電腦會自動加密檔案將副檔名變成「.wncry」。

目前網路查詢已知受影響的系統是:
Windows XP
Windows Vista
Windows 7
Windows 8
Windows 8.1
Windows 10(1507,1511,1607)
Windows Server2008
Windows 2008R2
Windows 2012
Windows 2012R2
Windows RT

針對這個漏洞，Windows 10 系統會自動更新，加上最新的 1703版沒有這個漏洞，所以應該不會中毒。

想要修復 MS17-010 漏洞，必須安裝 KB4012215(Win 7) 或 KB4012216(Win 8.1) 等更新。
若你開機後很幸運還沒事的話，請打開「更新紀錄」檢查看看你的更新內容是否有以下幾個更新檔：

控制台 > Windows Update > 檢視更新紀錄

3月安全性更新號碼
Windows 7 : KB4012215
Windows 8.1:KB4012216
4月安全性更新號碼
Windows 7 : KB4015549
Windows 8.1:KB4015550
5月安全性更新號碼
Windows 7: KB4019264
Windows 8.1:KB4019215

這些更新號碼裡只要確認有其中一項就可以了，5 月會包含 3 月的更新。如果你沒有安裝這些系統更新檔，這裡提供微軟更新下載連結，只是…最近下載的人很多，所以速度可能會有點慢。

Windows 7 64 位元
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu
Windows 7 32 位元
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x86_aaf785b1697982cfdbe4a39c1aabd727d510c6a7.msu
Windows 8.1 64 位元
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu
Windows 8.1 32 位元
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu

下載安全性更新安裝檔（KB4012598）：

Windows 8（安全性更新 ）：
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
Windows XP x64 Edition（Security Update for Windows XP SP2 for x64-based Systems）：
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-jpn_9d5318625b20faa41042f0046745dff8415ab22a.exe
Windows Server 2008（Security Update for Windows Server 2008 for Itanium-based Systems）：
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-ia64_83a6f5a70588b27623b11c42f1c8124a25d489de.msu
Windows Vista（Windows Vista 安全性更新）：
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Server 2008（Windows Server 2008 安全性更新）：
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Server 2003,Windows Server 2003, Datacenter Edition（x64 系統的 Windows Server 2003 安全性更新自訂支援 ）：
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-cht_23a0e14eee3320955b6153ed7fab2dd069d39874.exe
Windows 8（x64 系統的 Windows 8 安全性更新 ）：
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
Windows XP Embedde（XPe 的 Windows XP SP3 安全性更新自訂支援 ）：
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-cht_c3696d39aab12713c4bd4e30b8e17f0a03fd8089.exe
Windows XP（Windows XP SP3 安全性更新自訂支援 ）：
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-cht_a84b778a7caa21af282f93ea0cdada0f7abb7d6a.exe
Windows Server 2003,Windows Server 2003, Datacenter EditionWindows Server 2003 安全性更新自訂支援）：
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-cht_71a7359d308c8bda7638b4dc4ea305e7e22cc4c2.exe
Windows Vista（x64 系統的 Windows Vista 安全性更新 ）：
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows Server 2008（x64 系統的 Windows Server 2008 安全性更新 ） ：
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows XP Embedded（WES09 與 POSReady 2009 的安全性更新）：
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-cht_a827a40579d7de4c78efeca91d25ec0762e1c5be.exe

如果想要一勞永逸避免這攻擊的話，最好的方法就是把電腦升級成 Windows 10 系統，而且務必開啟 Windows 自動更新；另外也可以放棄 Windows 改用 Mac OS 或是 Linux 電腦來避免。