跟防毒公司比賽--黑暗版的病毒警告

這幾天為了一個幾家防毒軟體大廠都還無法偵測的病毒(或是SpyWare?)搞得人仰馬翻。因為現成的防毒軟體到目前都還沒有解決方案,這裡就先提出我的觀察心得讓大家知道。不過,我並非病毒專家,以下只是個人見解,大家參考就好,不負任何保證責任。

【症狀】

           執行了有毒的檔案後,我的電腦檔案總管”(Explorer.exe)的動作會變慢,在某些機器上甚至系統會Hang住一段時間。之後你用檔案總管去開啟任何Folder(包含網路分享的Folder,這是它主要跨電腦傳播的管道),如果其中有EXE檔或是DLL檔,就會受感染,改寫檔案,並在後方加上約26K的病毒碼。
進階說明:
被感染的EXE/DLL檔案,如果用UltraEdit去看二進位資料,會發現原本在第64個Byte起不久應該有一段Window程式專有的This program cannot be run in DOS mode訊息不見了,取而代之的是P(0x50) E(0x45)的NT Signature及程式碼。
例如: 正常的EXE程式


感染後的EXE程式

【行為分析】

n            受感染時,機器會變慢,並利用檔案總管傳播感染本機或遠端分享目錄的EXE/DLL。但現在的觀察,並不會全面性的主動掃瞄傳播。

n            可能有些背後的網路木馬動作,所以Outlook、MSN Messenger可能會不正常。(MSN出現超出每分鐘訊息數限制等怪訊息)

n            在一些機器上,只要重新登入,病毒就會喪失感染力。

n            重登後,某些機器則會在檔案總管按右鍵後再次具有感染力(我發現或許與WinZip32 Shell的右鍵選單DLL也被感染有關)。

n            有些機器則在感染及重開機後,一切動作變得很慢,導致電腦幾乎不能用,

n            最悲慘的狀況可能會導致OS無法開機登入。

(影響程度不同或許與受感染EXE、DLL的範圍有關係)


【偵測】
           監看了感染過程,我發現最簡單的檢測方法是開個DOS視窗,執行以下的指令:




           在正常的電腦上應該是找不到任何檔案的,若你發現一個43K的vCab.DLL檔,表示你現在登入的這個User中毒了,或曾中過毒。但沒發現並不代表整台電腦都OK,也許某些檔案已中毒了,或用這台電腦的其他User有中毒,都有可能。

           我寫了一個HTA程式可以代為執行以上的測試。但要再次強調,這個測試僅代表現在登入的User是否已被感染而已,不代表整台電腦都OK。



 

【解毒】

           目前尚無完善的解毒對策。我有用.NET 1.1 DIY了一個掃瞄EXE/DLL有無中毒徵兆的程式,但無法解毒,也還沒完整測試過,懷疑自己中毒的人再個別向我索取好了。
歡迎推文分享:
Published 31 August 2006 10:07 AM 由 Jeffrey
Filed under: ,
Views: 13,510



意見

# Darkthread said on 06 September, 2006 08:40 PM
聽起來很慘的感覺~~~
但我先說明一下,以免閣下期望過高。這個DIY Scan程式只能掃出哪些檔案中鏢,但無法清除,你自己要設法找到正確的檔案去覆寫。有些檔案的版本不同,不能亂換,有些則一開機就被鎖定,動不了。所以要手動復原到好,難度很高!!
所以,掃出一大張毒檔清單卻無力掃除,可能會讓你更心寒也不一定。不在意以上的缺點題,還是想試試的朋友,可以到這裡下載檔案。記得要先裝.NET 1.1 Framework,中毒的電腦應該不太容易再裝Framework,或許可以考慮將有毒HD拆到其他機器上去作業,要換檔也會方便一點。
再重申一次,程式恕不提供任何保證,要使用的人請自負風險! 不過,歡迎有下載使用的朋友在此留個言,或給些意見,如果彙整出某些共同的需求,我會設法抽空再改進程式。
# Anonymous said on 07 September, 2006 10:06 AM

大大是否給我你所寫的.NET 1.1 DIY檔,因小弟我這邊為企業用戶,感染了很多電腦,非常痛苦中。

# Anonymous said on 07 September, 2006 04:14 PM

謝謝大大喔,我測一下,這個毒是只針對繁體中文而來的

# Darkthread said on 07 September, 2006 04:24 PM

不知道你中的Virus是否跟我遇到的是同一種? 不過,我遇到的這隻對英文版也有攻擊性(我的Windows 2003英文版,一樣慘遭毒手),然後幾個症狀是桌面的每個Folder多出一個desktop.ini、mssbupx.dll錯誤訊息(Windows Defender發出的警告)、Explorer.exe重新啟動... 等等
這陣子中毒的消息不少,可是好像大家的症狀都不一樣,真是奇怪的一波毒災。

# Anonymous said on 08 September, 2006 10:02 PM

應該是一樣的吧,但很奇怪的是感覺還是會被傳染耶。
真懷疑防毒廠商不知道在做什麼的,這件事我們已經發生滿一個星期了,還是沒有解藥可以吃,而且一旦感染了exe就完蛋了,就有機會在擴散下去,真煩。
請教大大一個問題,是否你知道要如何透過機碼將資源分享的權限改成唯讀,目前我只知道如何採用機碼將分享的service拿掉,但就是不知若分享的話怎樣去限制user權限為唯讀。

# Darkthread said on 09 September, 2006 09:44 AM

不太了解你所謂分享要設唯讀的困難點耶...
在2000/XP中,Windows本身就可以指定網路分享的對象及權限,不是嗎?
還是你指的是我不知道的特異功能,呵呵~~~
我公司用的防毒軟體已經具有偵測及攔截病毒的能力了,但是解毒功能還在火星上,唉~~

你的看法呢?

(必要的) 
(必要的) 
(選擇性的)
(必要的) 
(提醒: 因快取機制,您的留言幾分鐘後才會顯示在網站,請耐心稍候)

5 + 3 =

搜尋

Go

<August 2006>
SunMonTueWedThuFriSat
303112345
6789101112
13141516171819
20212223242526
272829303112
3456789
 
RSS
創用 CC 授權條款
【廣告】
twMVC

Tags 分類檢視
關於作者

一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。

文章典藏
其他功能

這個部落格


Syndication