後門木馬Backdoor.Rohimafo篡改網路路由設置

病毒名稱：Backdoor.Rohimafo
病毒類型：木馬
受影響的作業系統： Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003

病毒分析：

Backdoor.Rohimafo是賽門鐵克安全回報中心近期發現的一個木馬病毒。它會在受感染電腦中開啟後門，並竊取使用者機密資訊發送到指定網站。

運行時，Backdoor.Rohimafo會先將自己複製到\?\globalroot\systemroot\system32\[RANDOM STRING].exe，並修改註冊表達到隨Windows作業系統啟動的目的。然後，該後門木馬會打開電腦TCP埠15425，將被感染電腦作為代理伺服器，連接到指定網站並從這些網站獲取以下命令：下載和執行檔、添加網路路由設置、關閉進程。

該後門木馬會關閉某些威脅偵測系統及防毒軟體，同時關閉Windows系統還原功能，並將惡意程式碼注入到其他進程中。這些惡意程式碼會跟隨使用者鍵盤操作，竊取使用者機密資訊（如鍵盤擊鍵資訊），然後將竊取的資訊發送到指定位址。Backdoor.Rohimafo還會修改系統永久路由設置，增加路由位址，並將這些位址重新導向到被感染的電腦。

諾頓安全專家建議：

1. 全新2010版諾頓安全軟體獨創的基於信譽評等的全球雲端鑑識技術，使用賽門鐵克的全球安全智慧型網路，即時對來自網路的應用程式進行判斷，協助使用者抵禦最新威脅。
2. 諾頓安全軟體的「智慧雙向防火牆」功能，能夠阻止不明應用程式造訪網路，令被竊取的使用者資訊無法傳輸。
3. 建議使用者儘量不要造訪可疑網站。
4. 沒有安裝防毒軟體的使用者可以造訪http://tw.symantecstore.com下載諾頓360 4.0、諾頓網路安全大師2010或諾頓防毒 2010試用版對病毒進行掃毒。
5. 使用諾頓2006版本及之後產品的現有使用者，可以免費將產品升級至諾頓2010版本，升級網址http://www.symantec.com.tw/nuc。