跟防毒公司比賽--黑暗版的病毒警告

這幾天為了一個幾家防毒軟體大廠都還無法偵測的病毒(或是SpyWare?)搞得人仰馬翻。因為現成的防毒軟體到目前都還沒有解決方案，這裡就先提出我的觀察心得讓大家知道。不過，我並非病毒專家，以下只是個人見解，大家參考就好，不負任何保證責任。

【症狀】
           執行了有毒的檔案後，”我的電腦”或”檔案總管”(Explorer.exe)的動作會變慢，在某些機器上甚至系統會Hang住一段時間。之後你用檔案總管去開啟任何Folder(包含網路分享的Folder，這是它主要跨電腦傳播的管道)，如果其中有EXE檔或是DLL檔，就會受感染，改寫檔案，並在後方加上約26K的病毒碼。

進階說明: 被感染的EXE/DLL檔案，如果用UltraEdit去看二進位資料，會發現原本在第64個Byte起不久應該有一段Window程式專有的”This program cannot be run in DOS mode”訊息不見了，取而代之的是P(0x50) E(0x45)的NT Signature及程式碼。 例如: 正常的EXE程式 感染後的EXE程式

【行為分析】
n            受感染時，機器會變慢，並利用檔案總管傳播感染本機或遠端分享目錄的EXE/DLL。但現在的觀察，並不會全面性的主動掃瞄傳播。
n            可能有些背後的網路木馬動作，所以Outlook、MSN Messenger可能會不正常。(MSN出現超出每分鐘訊息數限制等怪訊息)
n            在一些機器上，只要重新登入，病毒就會喪失感染力。
n            重登後，某些機器則會在檔案總管按右鍵後再次具有感染力(我發現或許與WinZip32 Shell的右鍵選單DLL也被感染有關)。
n            有些機器則在感染及重開機後，一切動作變得很慢，導致電腦幾乎不能用，
n            最悲慘的狀況可能會導致OS無法開機登入。
(影響程度不同或許與受感染EXE、DLL的範圍有關係)

【偵測】
           監看了感染過程，我發現最簡單的檢測方法是開個DOS視窗，執行以下的指令:



           在正常的電腦上應該是找不到任何檔案的，若你發現一個43K的vCab.DLL檔，表示你現在登入的這個User中毒了，或曾中過毒。但沒發現並不代表整台電腦都OK，也許某些檔案已中毒了，或用這台電腦的其他User有中毒，都有可能。
           我寫了一個HTA程式可以代為執行以上的測試。但要再次強調，這個測試僅代表現在登入的User是否已被感染而已，不代表整台電腦都OK。


 
【解毒】
           目前尚無完善的解毒對策。我有用.NET 1.1 DIY了一個掃瞄EXE/DLL有無中毒徵兆的程式，但無法解毒，也還沒完整測試過，懷疑自己中毒的人再個別向我索取好了。

歡迎推文分享:

Published 31 August 2006 10:07 AM 由 Jeffrey Filed under: Security, Virus Views: 14,660

# Darkthread said on 06 September, 2006 08:40 PM

聽起來很慘的感覺~~~
但我先說明一下，以免閣下期望過高。這個DIY Scan程式只能掃出哪些檔案中鏢，但無法清除，你自己要設法找到正確的檔案去覆寫。有些檔案的版本不同，不能亂換，有些則一開機就被鎖定，動不了。所以要手動復原到好，難度很高!!
所以，掃出一大張毒檔清單卻無力掃除，可能會讓你更心寒也不一定。不在意以上的缺點題，還是想試試的朋友，可以到這裡下載檔案。記得要先裝.NET 1.1 Framework，中毒的電腦應該不太容易再裝Framework，或許可以考慮將有毒HD拆到其他機器上去作業，要換檔也會方便一點。
再重申一次，程式恕不提供任何保證，要使用的人請自負風險! 不過，歡迎有下載使用的朋友在此留個言，或給些意見，如果彙整出某些共同的需求，我會設法抽空再改進程式。

# Anonymous said on 07 September, 2006 10:06 AM

大大是否給我你所寫的.NET 1.1 DIY檔，因小弟我這邊為企業用戶，感染了很多電腦，非常痛苦中。

# Anonymous said on 07 September, 2006 04:14 PM

謝謝大大喔，我測一下，這個毒是只針對繁體中文而來的

# Darkthread said on 07 September, 2006 04:24 PM

不知道你中的Virus是否跟我遇到的是同一種? 不過，我遇到的這隻對英文版也有攻擊性(我的Windows 2003英文版，一樣慘遭毒手)，然後幾個症狀是桌面的每個Folder多出一個desktop.ini、mssbupx.dll錯誤訊息(Windows Defender發出的警告)、Explorer.exe重新啟動... 等等
這陣子中毒的消息不少，可是好像大家的症狀都不一樣，真是奇怪的一波毒災。

# Anonymous said on 08 September, 2006 10:02 PM

應該是一樣的吧，但很奇怪的是感覺還是會被傳染耶。
真懷疑防毒廠商不知道在做什麼的，這件事我們已經發生滿一個星期了，還是沒有解藥可以吃，而且一旦感染了exe就完蛋了，就有機會在擴散下去，真煩。
請教大大一個問題，是否你知道要如何透過機碼將資源分享的權限改成唯讀，目前我只知道如何採用機碼將分享的service拿掉，但就是不知若分享的話怎樣去限制user權限為唯讀。

# Darkthread said on 09 September, 2006 09:44 AM

不太了解你所謂分享要設唯讀的困難點耶...
在2000/XP中，Windows本身就可以指定網路分享的對象及權限，不是嗎?
還是你指的是我不知道的特異功能，呵呵~~~
我公司用的防毒軟體已經具有偵測及攔截病毒的能力了，但是解毒功能還在火星上，唉~~

你的看法呢?

標題 (必要的) 

姓名 (必要的) 

你的URL (選擇性的)

意見 (必要的) 

Remember Me?

(提醒: 因快取機制，您的留言幾分鐘後才會顯示在網站，請耐心稍候)

CAPTCHA / 驗證碼 :

5 + 3 =

搜尋