最近、友人がwindows 7システムでネットワーク共有を開始したとき、共有アクセスを正常に有効にすることができませんでしたシステムはエラー1061を促します、すなわち、サービスは現時点で制御情報を受け入れることができません。主な理由は、システム内のワームの危険性が原因です。詳細については、以下の概要を参照してください。
分析の理由:
ウイルス名:worm Win32.Luder.I
その他の名前:W32 /Dref-U(Sophos)、Win32 /Luder.I!Worm、W32.Mixor.Q @mm(シマンテック)、W32 /Nuwar @ MM(マカフィー)、W32 /Tibs.RA(F-Secure)、Trojan-Downloader.Win32.Tibs.jy(Kaspersky)
ウイルス属性:ワーム
ハザード性別:Medium Hazard
人気:高
特定の紹介:
ウイルスの特徴:
Win32 /Luder.Iはメールを介して広がり、PEファイルとRARファイルに保存されるワームです。広がる。さらに、他の悪質なプログラムをダウンロードして実行するためのトロイの木馬も生成します。これは、サイズが17,559バイトのWin32実行ファイルです。
感染モード:
実行中に、Win32 /Luder.Iを%System%ppl.exeにコピーし、fileプロパティをhiddenに設定してください。次に、次のレジストリキーを変更して、システムが起動するたびにこのコピーが実行されるようにします。HKLMSoftwareMicrosoftWindowsCurrentVersionRunagent ='%System%ppl.exe。 。 quo; HKCUSoftwareMicrosoftWindowsCurrentVersionRunagent ='%System%ppl.exe。 。 '
注:‘%System%’は可変パスです。このウイルスは、オペレーティングシステムに問い合わせて現在のシステムフォルダの場所を特定します。 Windows 2000およびNTのデフォルトのシステムインストールパスはC:WinntSystem 32、95,98およびMEはC:Windows System、XPはC:Windows System 32です。
Luderは、任意の名前のファイルを生成して実行し、Win32 /Sinteri!downloaderトロイの木馬を検出します。ワームはまた、同時に1つのコピーだけが実行されることを保証するために「kkk33ewrrt」ミューテックスを生成します。
通信方法:
ウイルスを送信するために、ローカルシステムから電子メールを送信するワームによって。 HKCUSoftwareMicrosoftWABWAB4Wabファイル名次に、Z:’から‘ C:’ driveまでの次の拡張子を持つファイルを検索します。
rar
scr
exe
htm
txt
ht
aワームは、ウイルスを送信するために各ドメインに適したメールサーバを見つけるためにDNS MX(メール交換)クエリを実行します。これらのクエリを実行するために、ローカルに構成された既定のDNSサーバーを使用します。
Luder.Iが収集した各EメールアドレスにEメールを送信しようとします。ワームは、次のような特徴を持つメッセージを送信します。
送信アドレス:
ワームは、任意の名前(ワームに付属のリストから選択されます)と任意の番号を組み合わせ、標的のドメイン名と組み合わせて偽造を生成します。受信者アドレス(例:
[email protected])。
テーマは「新年あけましておめでとうございます!」 - 「アクセサリ名」は「postcard.exe」です。file-PEファイルLuderに感染しています。拡張子が「exe」または「scr」の1つが見つかりました。ファイル、「ランダムな名前」.tファイル名を使用して、ファイルが配置されているディレクトリにウイルスをコピーし、隠しファイルとして設定します。
注: "ランダムな名前"は8つの小文字で構成されています。たとえば、' vrstmkgk.t'などです。
Luder.IファイルのPEヘッダーを調べて、実行するのに十分なスペースがあるかどうかを確認し、途中にコードを挿入します。さらに、感染したDLLや実行可能ファイルにも感染しません。実行されると、最初に関連する「ランダムな名前」.tを実行します。 Luder.Iは、感染ファイルのPEヘッダーのタイムスタンプにフラグとして666を書き込み、同じファイルへの再感染を防ぎます。
注:生成された "ランダムな名前" .tファイルは、感染の条件をすべて満たしていなくてもLuder.Iによって変更されることはありません。
ファイルを介した感染 - RARファイル
Luder.Iは、検出された各RAR文書に "random filename" .exeを追加します。ここで、 "random filename"は7文字の英数字です。たとえば、 "dnoCV18.exe"です。; Luder.Iが実行されるたびに、文書は複数回感染する可能性があります。
Hazard:
任意のファイルをダウンロードして実行します。Luder.Iは、他の悪質なプログラムを感染したマシンにダウンロードするためのファイルを生成します。ダウンロードされたファイルには、Win32 /Sinteri、Win32 /Sinray、Win32 /Sinhar、およびその他のWin32 /Luderの亜種が含まれます。
プロセスの終了
4秒ごとに、レジストリエディタ(regedit.exe)および次の文字列(Windowsのタイトルバーに表示)を含む名前の他のプロセスが実行されていれば、Luder.Iは試みますレジストリエディタとこれらのプロセスを終了します。anti
viru
troja
avp
rav
reged
nod32
spybot <ゾーン> zonea
vsmon
avg
blackice
firewall
msconfig
lockdown
f-pro
hijack - taskmgr - mcafee - システム設定の変更
Luder.I次のレジストリキーを変更して、 "Windowsファイアウォール/インターネット接続の共有(ICS)"( "インターネット接続ファイアウォール(ICF)/インターネット接続の共有(ICS)"とも呼ばれます)サービスを無効にします。HKLMSYSTEMCurrentControlSetServicesSharedAccessStart = 4 < Br> Clear:
KILL Security Armour InoculateIT 23.73.102、Vet 30.3.3288バージョンでこのウイルスを検出/解除できます。
kill version:
エラーが修正された方法:
レジストリを入力してインターネット共有の問題を解決するために4に変更された次のキーの値を見つけます。 WindowsレジストリエディタVersion 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess]< dword:00000004
Windows 7システムでネットワーク共有アクセスを有効にすると、多くの友人がシステムプロンプトエラー1061を検出しました。これは主にシステム攻撃によるものです。ユーザーがウイルスの特性と危険性を習得した場合にのみ、ウイルスをさらに除去して問題を解決することができます。