跟防毒公司比賽--黑暗版的病毒警告
這幾天為了一個幾家防毒軟體大廠都還無法偵測的病毒(或是SpyWare?)搞得人仰馬翻。因為現成的防毒軟體到目前都還沒有解決方案,這裡就先提出我的觀察心得讓大家知道。不過,我並非病毒專家,以下只是個人見解,大家參考就好,不負任何保證責任。
【症狀】
執行了有毒的檔案後,”我的電腦”或”檔案總管”(Explorer.exe)的動作會變慢,在某些機器上甚至系統會Hang住一段時間。之後你用檔案總管去開啟任何Folder(包含網路分享的Folder,這是它主要跨電腦傳播的管道),如果其中有EXE檔或是DLL檔,就會受感染,改寫檔案,並在後方加上約26K的病毒碼。
【行為分析】
n 受感染時,機器會變慢,並利用檔案總管傳播感染本機或遠端分享目錄的EXE/DLL。但現在的觀察,並不會全面性的主動掃瞄傳播。
n 可能有些背後的網路木馬動作,所以Outlook、MSN Messenger可能會不正常。(MSN出現超出每分鐘訊息數限制等怪訊息)
n 在一些機器上,只要重新登入,病毒就會喪失感染力。
n 重登後,某些機器則會在檔案總管按右鍵後再次具有感染力(我發現或許與WinZip32 Shell的右鍵選單DLL也被感染有關)。
n 有些機器則在感染及重開機後,一切動作變得很慢,導致電腦幾乎不能用,
n 最悲慘的狀況可能會導致OS無法開機登入。
(影響程度不同或許與受感染EXE、DLL的範圍有關係)
【偵測】
監看了感染過程,我發現最簡單的檢測方法是開個DOS視窗,執行以下的指令:
在正常的電腦上應該是找不到任何檔案的,若你發現一個43K的vCab.DLL檔,表示你現在登入的這個User中毒了,或曾中過毒。但沒發現並不代表整台電腦都OK,也許某些檔案已中毒了,或用這台電腦的其他User有中毒,都有可能。
我寫了一個HTA程式可以代為執行以上的測試。但要再次強調,這個測試僅代表現在登入的User是否已被感染而已,不代表整台電腦都OK。
【解毒】
目前尚無完善的解毒對策。我有用.NET 1.1 DIY了一個掃瞄EXE/DLL有無中毒徵兆的程式,但無法解毒,也還沒完整測試過,懷疑自己中毒的人再個別向我索取好了。
【症狀】
執行了有毒的檔案後,”我的電腦”或”檔案總管”(Explorer.exe)的動作會變慢,在某些機器上甚至系統會Hang住一段時間。之後你用檔案總管去開啟任何Folder(包含網路分享的Folder,這是它主要跨電腦傳播的管道),如果其中有EXE檔或是DLL檔,就會受感染,改寫檔案,並在後方加上約26K的病毒碼。
進階說明: 被感染的EXE/DLL檔案,如果用UltraEdit去看二進位資料,會發現原本在第64個Byte起不久應該有一段Window程式專有的”This program cannot be run in DOS mode”訊息不見了,取而代之的是P(0x50) E(0x45)的NT Signature及程式碼。 例如: 正常的EXE程式 感染後的EXE程式 |
【行為分析】
n 受感染時,機器會變慢,並利用檔案總管傳播感染本機或遠端分享目錄的EXE/DLL。但現在的觀察,並不會全面性的主動掃瞄傳播。
n 可能有些背後的網路木馬動作,所以Outlook、MSN Messenger可能會不正常。(MSN出現超出每分鐘訊息數限制等怪訊息)
n 在一些機器上,只要重新登入,病毒就會喪失感染力。
n 重登後,某些機器則會在檔案總管按右鍵後再次具有感染力(我發現或許與WinZip32 Shell的右鍵選單DLL也被感染有關)。
n 有些機器則在感染及重開機後,一切動作變得很慢,導致電腦幾乎不能用,
n 最悲慘的狀況可能會導致OS無法開機登入。
(影響程度不同或許與受感染EXE、DLL的範圍有關係)
【偵測】
監看了感染過程,我發現最簡單的檢測方法是開個DOS視窗,執行以下的指令:
在正常的電腦上應該是找不到任何檔案的,若你發現一個43K的vCab.DLL檔,表示你現在登入的這個User中毒了,或曾中過毒。但沒發現並不代表整台電腦都OK,也許某些檔案已中毒了,或用這台電腦的其他User有中毒,都有可能。
我寫了一個HTA程式可以代為執行以上的測試。但要再次強調,這個測試僅代表現在登入的User是否已被感染而已,不代表整台電腦都OK。
【解毒】
目前尚無完善的解毒對策。我有用.NET 1.1 DIY了一個掃瞄EXE/DLL有無中毒徵兆的程式,但無法解毒,也還沒完整測試過,懷疑自己中毒的人再個別向我索取好了。
6 Comments:
大大是否給我你所寫的.NET 1.1 DIY檔,因小弟我這邊為企業用戶,感染了很多電腦,非常痛苦中。
By Anonymous, at 9/07/2006 10:06 am
聽起來很慘的感覺~~~
但我先說明一下,以免閣下期望過高。這個DIY Scan程式只能掃出哪些檔案中鏢,但無法清除,你自己要設法找到正確的檔案去覆寫。有些檔案的版本不同,不能亂換,有些則一開機就被鎖定,動不了。所以要手動復原到好,難度很高!!
所以,掃出一大張毒檔清單卻無力掃除,可能會讓你更心寒也不一定。不在意以上的缺點題,還是想試試的朋友,可以到這裡下載檔案。記得要先裝.NET 1.1 Framework,中毒的電腦應該不太容易再裝Framework,或許可以考慮將有毒HD拆到其他機器上去作業,要換檔也會方便一點。
再重申一次,程式恕不提供任何保證,要使用的人請自負風險! 不過,歡迎有下載使用的朋友在此留個言,或給些意見,如果彙整出某些共同的需求,我會設法抽空再改進程式。
By Darkthread, at 9/07/2006 12:40 pm
謝謝大大喔,我測一下,這個毒是只針對繁體中文而來的
By Anonymous, at 9/07/2006 4:14 pm
不知道你中的Virus是否跟我遇到的是同一種? 不過,我遇到的這隻對英文版也有攻擊性(我的Windows 2003英文版,一樣慘遭毒手),然後幾個症狀是桌面的每個Folder多出一個desktop.ini、mssbupx.dll錯誤訊息(Windows Defender發出的警告)、Explorer.exe重新啟動... 等等
這陣子中毒的消息不少,可是好像大家的症狀都不一樣,真是奇怪的一波毒災。
By Darkthread, at 9/07/2006 4:24 pm
應該是一樣的吧,但很奇怪的是感覺還是會被傳染耶。
真懷疑防毒廠商不知道在做什麼的,這件事我們已經發生滿一個星期了,還是沒有解藥可以吃,而且一旦感染了exe就完蛋了,就有機會在擴散下去,真煩。
請教大大一個問題,是否你知道要如何透過機碼將資源分享的權限改成唯讀,目前我只知道如何採用機碼將分享的service拿掉,但就是不知若分享的話怎樣去限制user權限為唯讀。
By Anonymous, at 9/08/2006 10:02 pm
不太了解你所謂分享要設唯讀的困難點耶...
在2000/XP中,Windows本身就可以指定網路分享的對象及權限,不是嗎?
還是你指的是我不知道的特異功能,呵呵~~~
我公司用的防毒軟體已經具有偵測及攔截病毒的能力了,但是解毒功能還在火星上,唉~~
By Darkthread, at 9/09/2006 9:44 am
Post a Comment
<< Home