2007 技術通報 - TSPY_MARAN病毒通知快報

前一陣子台灣多家中小企業遭受大量的TSPY_MARAN變種病毒攻擊，TSPY_MARAN是具有特洛伊木馬特性的間諜程式，目前台灣有多種變種大量散播，病毒利用HTTP的方式植入用戶電腦，在Windows資料夾下產生avp.exe的病毒檔案，且在System資料夾下產生od*media.dll（*通常為1-9亂數變換），該病毒會修改系統的LSP，造成受感染的電腦無法上網。此惡意程式主要竊取下列遊戲或即時通的帳號：

• Gamania （遊戲橘子）
• Ragnarok （仙境傳說）
• Rohan （洛汗）
• Yahoo! Messenger （奇摩即時通）

解決方案：
請更新至最新的病毒碼與損害清除病毒碼(DCT)可以偵測並清除此類型的病毒，但是由於該病毒會修改LSP的部份，清除病毒後必須修正LSP才能正常上網，目前損害清除復原程式DCE5.3版本搭配最新的損害清除病毒碼DCT878(含)以上版本會自動修復此問題。若是您發現清除之後依舊無法上網，您可以透過手動修正LSP方式來檢查。

請參考以下連結的解決方案：

http://esupport.trendmicro.com/support/viewxml.do?ContentID=en-122496。

或是您可以下載FixLSP修正工具來解決此問題

http://www.cexx.org/lspfix.htm

此工具也可協助修正LSP
使用方式﹕

1. 下載lspfix.exe到任一目錄下
2. 執行lspfix.exe後會出現如下圖
   
   
   
   
3. 在左側的部份找到病毒的dll檔od*media.dll（*通常為1-9亂數變換），並按下 ”>>” ，該檔案會移到右邊的視窗
4. 點選（Finish）即可修復LSP

注意事項﹕

此工具會顯示您電腦中LSP CHIAN 中的所有設定，請移除與病毒相關項目即可，請勿任意移除其他正常設定項目否則將造成您電腦無法正常上網，否則您將需要重新安裝TCP/IP 協定。

預防方式：
可使用OfficeScan的病毒爆發防範禁止avp.exe與autorun.inf檔案寫入系統，該病毒會利用usb隨身碟自動播放功能，自動連結至Internet下載病毒檔案，防止autorun.inf檔案寫入只會無法自動播放，仍可以存取隨身碟內的檔案，不會影響一般操作。如何設定OfficeScan病毒爆發防範請參考上期技術通報或是修改系統設定來關閉隨身碟自動播放的功能，有下列幾種方式提供參考﹕

1. 當隨身碟插入電腦時，一直按著「Shift」鍵，直到系統已經連結此隨身碟 (作業系統將不會執行 autorun.inf 的內容)。
2. 修改登錄機碼，找到
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\PoliciesExplorer，和
   HKEY_USERS\DEFAULT\Software\Microsoft\WindowsCurrent\Version\Policies
   Explorer
   將NoDriveTypeAutoRun的值設都改為0x00000095，然後，重新開機，這樣就可以停用 Autorun 了。
3.  利用群組原則嵌入式管理單元 (gpedit.msc)。[本機電腦]->[開始]->[執行]->[在開啟欄中輸入 gpedit.msc]，點選[使用者設定]->[系統管理範本]->[系統]，點選[關閉自動播放]->[已啟用]並選擇所有磁碟機，如下圖，設定完成後，重新開機。