[情報] Daemon Tools自甘墮落　強行駐留用戶電腦

看板EZsoft作者autoupdate (生烏龍茶)時間16年前 (2008/03/26 21:51)推噓16(16推 0噓 12→)

留言28則, 21人參與討論串1/3 (看更多)

【編者按：現在Rootkit的被“利用率”越來越高了，這次是Demon Tools這款虛擬光碟機軟體，它想做什麼呢？】【賽迪網-IT技術報道】昨天無意中使用haiwei的rootkit檢測工具 NIAPSoft AntiRootkit Tools檢查我的電腦，發現SSDT HOOK，對應的驅動文件名為sp??.sys（??字符為隨機的兩個字母，每次重啟就變），使用冰刃檢查SSDT HOOK明明看到這個驅動的路徑在c:\windows\system\drviers下，而在c:\windows\system\drviers下卻找不到該文件的任何影子，當然第一感覺是中了未知木馬，試著用冰刃恢復SSDT，再找，仍然找不到。立即重啟系統，用WINPE引導，但WINPE下檢查這個文件也沒有任何結果。安裝了很多東東，天知道這玩意兒從哪兒來的。記得以前看過一個來源於微軟知識庫的文章，當系統被rootkit入侵時，你無法預料最終會有什麼結果，因為rootkit程式，它可以做任何事，只要作者願意。眾所週知的sony數字版權軟體植入rootkit事件，在歐美引起過軒然大波，Sony事件的曝光，源自於 Sysinternals的牛人Mark Russinovich，他在2005年10月30日的Blog中，首次披露了Sony 的數字版權套裝軟體含Rootkit：Sony, Rootkits and Digital Rights Management Gone Too Far。這件事之後，大量木馬開始使用rootkit技術，而rootkit技術已經成為商業軟體的禁區：公眾無論如何都無法接受自己的電腦中被商業公司植入後門。在微軟的知識庫中提到，對付rootkit，最安全的辦法是重置你的作業系統，也就是重裝。因為rootkit程式入侵你的系統後，該程式很可能會欺騙系統，導致你所看到的結果都是假像。通常情況下，可以用winpe把這樣的程式找到後刪除，再刪除與該程式相關的驅動、服務或其他載入項。但這次我被打敗了，我決定重裝。當晚重裝了系統，把自己常用的幾個工具再裝上，打好系統補丁。當晚忘了用rootkit檢測工具檢查，後來的事實證明，這個決定太英明瞭，不然昨晚還不知幾點鐘能睡著。今天在公司再用haiwei的這個工具一查，立即崩潰中，那個該死的rootkit又出來了。並且肯定隱藏在我昨天安裝的那幾個工具軟體中。想想這東東總不會藏在幾個大個的商業軟體中，於是將昨天安裝的那幾個共用軟體一一卸載，再查，沒有任何改善：那個 rootkit始終在我的電腦裏。對於搞反病毒的我來說，rootkit程式在我的電腦裏駐留是不可接受的。於是決定把這幾個共用軟體在虛擬機中安裝測試，裝完就用haiwei的工具檢查是不是多了不明不白的東西。在試驗了10多個工具之後，終於在Daemon Tool lite版中找到它的蹤跡。這可是我長期使用的一個虛擬光碟軟體，我很難接受它變成流氓軟體的現實。在我安裝 Daemon Tools時，也會避免安裝它的搜索插件和其他功能。嘗試卸載Daemon Tools，重啟發現這個rootkit仍然存在。發現卸載Daemon Tools後，註冊表中 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd驅動還在，將其屬性修改為禁用，重啟。再用冰刃和haiwei的工具檢查，發現那個sp??.sys沒有再加裁了，但是註冊表的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd鍵仍不可刪除。萬沒想到這個深受愛戴的共用軟體，已經徹底墮落為流氓，天知道Daemon tools要用 rootkit來做什麼。來源:http://0rz.tw/0e3Pc -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.124.32.196

推

yukitowu

03/26 21:53, , 1^F

03/26 21:53, 1^F

推

WFXX

03/26 21:55, , 2^F

03/26 21:55, 2^F

→

autoupdate

03/26 21:56, , 3^F

03/26 21:56, 3^F