Re: [問題]開機出現新的使用者zz02$

看板AntiVirus作者 (威廉華勒斯)時間16年前 (2009/08/11 00:01), 編輯推噓5(505)
留言10則, 4人參與, 最新討論串1/1
這個剛好是我最近在處理的東西 大致情形是這樣 首先這是病毒造成的沒錯 這毒台灣人寫的,八成 因為該毒使用的一些術語都是台灣用詞 比如像"懶叫沒養" (我不是罵髒話><) "固定" "卸除" (讀取隨身碟用的) 這一些是台灣術語,所以研判是台灣人做的 而這東西是使用 "純bat+vbs" 寫的,再利用bat to exe 和winrar壓縮之後傳出去 原則上來說對各防毒廠商這兩種東西 (尤其是bat) 是很難抓得到的. 他大致的行為如下: 1.產生以下檔案並且入登錄值啟動 C:\WINDOWS\system32\dllcache\microsoftshell.exe 這一個檔案啟動之後靠windows內建的FTP.exe去下載遠端遙控木馬並執行常駐 並執行自解檔至亂數位置 (目前看到大多都是c:\windows\system32\dllcache資料夾中 在建一個資料夾) 2.產生一個到兩個帳號名稱叫做zz02$ zz01$ 這兩個帳號刪不掉,即使是使用administrator帳號也是刪不掉 3.產生的遠端遙控木馬會放置在 c:\program files\common files\microsoft shared\msinfo\6qre3ouo.avi (上面這個位置一樣,但名稱會稍微改一下,不過是不是遠端遙控木馬我不清楚 ,但因為是掛在svchost那邊所以我猜應該是.) 4.執行bat檔一直重複利用fsutil和findstr 尋找磁碟類型為 "卸除" "remove" 等的隨身碟,尋找到之後將裡面的所有資料夾以及txt rar zip pdf doc xls ppt 副檔名名稱的檔案 (感謝小精靈隨身碟清除病毒程式作者分析,我現在很懶的分析0rz) 如果有找到,則將該檔案隱藏起來 (加上隱藏屬性) 然後再將病毒壓縮包自己複製成和原本主檔名一樣,圖示一樣的exe檔 引誘使用者點擊,而點擊後他會先執行病毒本體後再幫你將原本的檔案開啟XD 5.用虛擬機的有機會會死機,原因不明. 大致上是這樣的行為 至於怎麼解? 我這邊用我的解法 1.跑EFix ( 在他沒變種前應該是ok,前兩次改版就是針對他改的 ) 2.跑完後將隨身碟內偽裝的exe檔全部刪除,並將原本檔案隱藏屬性取消 3.這一個注意危險! 開啟登錄編輯程式 (regedit.exe) 開啟後找HKEY_LOCAL_MACHINE\SAM\SAM這一個按右鍵選使用權限 將administrator的完全控制選項打勾 打勾之後可以看到裡面的子選項 再到HKEY_LOCAL_MACHINE\SAM\\SAM\Domains\Account\Users\Names這一項目 將zz01$和zz02$刪除 刪除後回復HKEY_LOCAL_MACHINE\SAM\SAM的使用權限 4.將首頁改回來,但要先將首頁不允許更改的登錄值刪除掉 位置是HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer 大致是這樣. 這一個最近非常的多 而且他上傳的FTP的位置基本上我也知道...連帳密我都知道XD 裡面資料非常多..... 請各位自己多加小心 至於防止被盜的方式 我前面幾篇有提到過 近期的台灣盜帳號木馬上傳或下載都是使用windows內建的ftp.exe來做一個上下傳的 動作,所以建議將ftp.exe列為防火牆的封鎖對象 (請不要用windows內建的,病毒 會開啟) 或者是直接利用群組安全性原則將ftp.exe列為封鎖不允許執行對象 就可以檔掉非常多台灣來的危害了.... ------------------------------------------------------------------------- 這一個最近真的很多,慢慢的原本一開始利用autorun.inf來作為感染途徑的病毒 會慢慢轉變成為這種誘使點擊的病毒為主,請各位在使用隨身碟之前務必先確認 你點的東西是不是有問題,可以的話就將副檔名顯示開啟,這樣他就破功了. -- 長路如淡夢 無盡空嘆息 月光照亮我心房 野花輕搖指前路 過失之痛滿胸中 抬手長自撫 願能將其拂 欲言又止萬千語 化作葉兒染愛色 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.112.80.45 ※ 編輯: junorn 來自: 59.112.80.45 (08/11 00:07)
08/11 00:09, , 1F
請問副檔名會有什麼差別??? 謝謝
08/11 00:09, 1F
08/11 00:16, , 2F
你是問副檔名是怎麼樣不同還是副檔名開啟後有甚麼不同?
08/11 00:16, 2F
08/11 01:32, , 3F
請問一下這個病毒似乎會造成鍵盤某些按鍵出問題
08/11 01:32, 3F
08/11 01:33, , 4F
那要如何解決呢 謝謝
08/11 01:33, 4F
08/11 01:38, , 5F
就是開啟副檔名之後會從哪邊發現不同呢?
08/11 01:38, 5F
08/11 01:39, , 6F
回樓上,原本的"123.zip"應該會變成"123.zip.exe"吧
08/11 01:39, 6F
08/11 01:40, , 7F
windows系統判斷檔案格式的方式似乎是依最後面那個副檔
08/11 01:40, 7F
08/11 01:41, , 8F
名來判斷 所以前面的.zip就會當成檔名的一部分
08/11 01:41, 8F
08/11 01:45, , 9F
恩恩..謝謝:D~所以exe是病毒檔的意思><~~懂哩
08/11 01:45, 9F
08/11 09:04, , 10F
鍵盤按鍵的話我不清楚,因為這邊測的時候沒這情形.
08/11 09:04, 10F
更多 junorn 的文章
文章代碼(AID): #1AW4HQZ5 (AntiVirus)