[問題] eFIX 解壓到C:\後EF資料夾會消失?

看板AntiVirus作者 (囧 in Wu)時間14年前 (2010/06/24 21:49), 編輯推噓9(9040)
留言49則, 5人參與, 最新討論串1/1
使用teamviewer 在朋友中毒的電腦執行6/17的EFIX 欲解除autorun變種病毒 會將所有資料夾隱藏然後變成病毒.EXE偽裝資料夾 第一次在XP系統可以運行EFIX 但是接上隨身碟後又不能運行EFIX(重開機後也不能) 都是說無法運行C:\EF 看不到被隱藏 不能寫入 不能刪除 (CMD下 C:\>dir /a可以看到 但是不能rd ef /s /q或是 attrib -r -s -h -a ef) 不知道是病毒緣故還是EFIX而外設定相關權限 只好把EFIX自解包修改變成EFF資料夾&執行C:\EFF\的BAT 但是這次執行時卻出現administrator權限錯誤提示 不過還是能免強執行完EFIX. 本人的疑問是 1.EFix是否會自動隱藏 C:\ef 資料夾&禁止寫入刪除 2.還是新的變種病毒會封鎖C:\ef資料夾 感恩 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.233.144.5
06/24 23:04, , 1F
系統被新增用戶 i'm fls$
06/24 23:04, 1F
06/24 23:04, , 2F
病毒主程式c:\windows\system32\alq.exe
06/24 23:04, 2F
06/24 23:30, , 3F
啊啊...果然是抓EF資料夾啊...那傢伙
06/24 23:30, 3F
06/24 23:31, , 4F
EFix不會隱藏EF資料夾,也不會禁止寫入刪除
06/24 23:31, 4F
06/24 23:31, , 5F
我也在納悶為何中這傢伙的毒時EF不能執行,第一個想到的是
06/24 23:31, 5F
06/24 23:32, , 6F
對方會在資料夾上動手腳,果然....
06/24 23:32, 6F
06/24 23:32, , 7F
joinwu有樣本嗎?
06/24 23:32, 7F
06/24 23:32, , 8F
cacls C:\ef 他把everyone給禁了
06/24 23:32, 8F
06/24 23:33, , 9F
只剩下alq.ver不知道有用處嗎
06/24 23:33, 9F
06/24 23:33, , 10F
原來如此...難過解壓縮會失敗
06/24 23:33, 10F
06/24 23:34, , 11F
alq...可能沒用,這東西印象直接執行的話就直接Kill SYSTEM
06/24 23:34, 11F
06/24 23:34, , 12F
因為它會檢查一些條件,如果條件不滿足就刪系統各大檔案
06/24 23:34, 12F
06/24 23:36, , 13F
還有幾個問題沒有修復病毒改掉顯示副檔名&簡易共用(改權限)
06/24 23:36, 13F
06/24 23:39, , 14F
喔?又改更多東西囉...還是有機會等樣本看看好了
06/24 23:39, 14F
06/24 23:39, , 15F
病毒檔alq.exe.ver http://tinyurl.com/26twxuh
06/24 23:39, 15F
06/24 23:39, , 16F
輕舉妄動隨便躲他封鎖太危險。
06/24 23:39, 16F
06/24 23:40, , 17F
他會產生wget從網頁下載東西
06/24 23:40, 17F
06/24 23:40, , 18F
解壓密碼:efix
06/24 23:40, 18F
06/24 23:40, , 19F
看看能不能用7-zip解,印象他也是壓縮包
06/24 23:40, 19F
06/24 23:43, , 20F
LOG 不是很準因為跑了N次http://tinyurl.com/249tg2m
06/24 23:43, 20F
06/24 23:47, , 21F
那些F槽的假EXE檔都刪了嗎?
06/24 23:47, 21F
06/24 23:50, , 22F
好像被EFIX自己清掉了
06/24 23:50, 22F
06/24 23:51, , 23F
被朋友刪掉了不是EFIX...
06/24 23:51, 23F
06/24 23:53, , 24F
不過毒窟是他學校的電腦XD 應該很多樣本
06/24 23:53, 24F
06/24 23:53, , 25F
EFix不會清那些啦因為沒辦法保證是不是使用者要的資料
06/24 23:53, 25F
06/24 23:54, , 26F
那請你朋友在插個幾次這樣XD,開玩笑的...
06/24 23:54, 26F
06/24 23:54, , 27F
他是高雄樹德的老師學校電腦應該很多樣本XD
06/24 23:54, 27F
06/24 23:55, , 28F
有機會碰到的話看您方不方便弄出來給大家玩玩:)
06/24 23:55, 28F
06/25 00:01, , 29F
那個ALQ.EXE不是病毒喔??
06/25 00:01, 29F
06/25 00:03, , 30F
是啊,但光那個不夠,必須要偽裝的資料夾才能測出完整行為
06/25 00:03, 30F
06/25 00:04, , 31F
不然就像上面我提到的直接執行的話會直接將系統砍了。
06/25 00:04, 31F
06/25 00:05, , 32F
不過那是之前啦...現在還會不會不知道,明天來測看看
06/25 00:05, 32F
06/25 00:06, , 33F
先感謝提供樣本喔m(_o_)m ,抓這傢伙抓很久了..
06/25 00:06, 33F
06/25 00:18, , 34F
我先下載個XP MODE來送死 不過在無網路環境下 wget沒用
06/25 00:18, 34F
06/25 01:25, , 35F
ALQ會跑很多東西XD
06/25 01:25, 35F
06/25 01:26, , 36F
cacls C:\ef →C:\EF Everyone:(OI)(CI)N
06/25 01:26, 36F
06/25 01:26, , 37F
連上golf962.server4you.de下載東西
06/25 01:26, 37F
06/25 01:32, , 38F
在XP MODE下測試ALQ會自己產生EF資料夾在C:\並且封鎖他
06/25 01:32, 38F
06/25 01:33, , 39F
產生出來的檔案還會自動銷毀 囧 有點難分析啥在執行
06/25 01:33, 39F
06/25 01:33, , 40F
06/25 01:33, 40F
06/25 01:34, , 41F
↑這是在temp中找到的中斷病毒運作攔截的 他會自毀XD
06/25 01:34, 41F
06/25 09:27, , 42F
阿看到了,不過分析不完整0rz,有些變數去不掉..
06/25 09:27, 42F
06/25 09:28, , 43F
不過自爆的方式和之前是差不多。
06/25 09:28, 43F
06/25 09:29, , 44F
還在懶叫沒養.jpg...
06/25 09:29, 44F
06/25 11:52, , 45F
兩位的推文看得我眼睛好花喔XD
06/25 11:52, 45F
06/25 12:17, , 46F
同樓上 +1 XDDDD
06/25 12:17, 46F
06/25 12:22, , 47F
推一下,辛苦兩位了~~~
06/25 12:22, 47F
06/25 12:39, , 48F
兩位的帳號也太像了一點吧 0rz (一直以為J大在自問自答XD)
06/25 12:39, 48F
06/25 12:40, , 49F
j大sorry啦XD
06/25 12:40, 49F
更多 joinwu 的文章
文章代碼(AID): #1C8s9Q1_ (AntiVirus)