831病毒事件後記

歷經8月底與不知名病毒的慘烈博鬥後，公司簽約的防毒公司總算在數天之後出了可以識別該病毒的病毒碼更新，得知其代號為Win32.Bacalid(巴卡雷?)，但是防毒程式似乎只能偵測並阻止有毒檔案被執行，並沒有能力刪除或移除病毒，而且當時我查了各大防毒網站，幾乎沒啥關於該病毒的資訊，但總之毒害不會再擴大，我也就沒再繼續Follow。

前幾天，同事跟我說他的主機回報說偵測到有Bacalid的蹤跡，又喚起我的回億，再次Google，發現已經可以找到許多完整的資訊了(有些資料是9/11日以後才公佈的，所以Google不到)。

• 賣咖啡: http://vil.nai.com/vil/content/v_140566.htm
• 賽門: http://www.symantec.com/security_response/writeup.jsp?docid=2006-090109-5610-99&tabid=1
• 趨勢: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_VBAC.A-O

看過關於病毒的說明，我確認我的確被"巴"了! 其中吻合處包含了:
1.在Temp底下出現vCab.dll(這也是我後來DIY偵測工具的比對依據)。
2.感染EXE或DLL，DOS Stub被修改，長度增加35K。
3.電腦變慢或Explorer會當掉。
4.會下載天堂遊戲的偷密碼程式(難怪後來我的電腦被掃毒程式找出這類怪東西)。
綜合以上的資訊，一切的疑問都有了解答，Case Closed!

另外，試用的結果，賣咖啡(McAfee)的Bacalid Stinger 確實可以將病毒自EXE檔中移除(雖然檔案不會100%還原到原本的大小，可以參考下圖中的winver.exe及winver_virus.exe[中毒後再解毒])，而且可以指定特定目錄做掃瞄，有需要的朋友不妨一試。