ScrsvrNew

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　11/13/02

共享目錄駭蟲 Scrsvr_Worm 目前已有六代變種
駭蟲檔案如下： Scrsvr.exe、Alevir.exe、Brasil.exe、Brasil.pif、Marco!.scr、Instit.bat

根據實際測試，一台連有 ADSL 真實 IP 的電腦，Windows 共享目錄內除了會有上述 Scrsvr_Worm 駭蟲外，還會有其它類型的駭蟲也是利用共享目錄的漏洞進行入侵，例如 Hai_Worm 會在 Windows 目錄下產生(5的亂數英文字母).exe檔案，而 Nimda 病毒會將具有 MIME IFrame 漏洞的信件(*.eml)備份到 Windows 與 System 目錄內。 System 目錄內有時也會多出 Dnetc.exe 與 Dnetc.ini 檔案。

這些入侵電腦共享目錄的駭蟲，有時還會感染了 Pate、Space 或 FunLoving 病毒，原因是被共享目錄駭蟲入侵的電腦本身已中了這些病毒，所以造成感染別台機器時順便會將這些病毒帶入。

通常電腦用戶的Windows 系統安裝在 C 碟下，如果電腦的C 碟開放共享，Windows目錄也會被共享，很容易讓具有共享目錄入侵功能的駭蟲感染、竊取資料與取代其它重要檔案(例如取代Notepad.exe檔案，啟動記事本時會啟動駭蟲)。
利用此方法的駭蟲，之前有Bymer(Wininit)、QAZ(Notepad)、Datom，及目前流行的 Scrsvr 駭蟲、Scrsvr變種Brasil、Alevir等。

目前此駭蟲技術只能在 Windows 95/98/me 作業系統上活動，微軟也提供了修補程式如下：
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp。

請檢查 Windows 目錄下是否有上述駭蟲檔案，以及Windows 目錄下的 WIN.INI 設定檔內容中的【run=】是否有被寫入駭蟲指令。
1.執行【開始】→【執行】，輸入 "\\電腦名稱"，按確定鈕後即可以看到該電腦目前的共享狀態。
2.執行【開始】→【執行】，輸入 " win.ini "，按確定鈕後可以查看win.ini內容，檢查【run=】是否有被寫入駭蟲指令。

金帥ZLOCK網路管理員獨家提供監控目錄共享功能，線上立即顯示所有client用戶的共享狀態，並可列出其網域名稱、IP ADDRESS、電腦名稱、分享目錄之名稱，對於各企業或具有多層架構的組織而言，是相當有效的利器，可以協助MIS快速掌握所有電腦的共享情形，遠離病毒的迫害。在此金帥工程部也要提醒使用者，盡量不要開放目錄共享，如果一定要共享的話，盡量不要開放整個磁碟，開放某個資料夾即可，並在共享時加設密碼或唯讀功能，避免有心人士或電腦病毒非法入侵。