我實在是太喜歡隨身碟了(笑

2009-04-14

學校的電腦.......毒呀!

有一點資安概念的人都曉得學校的電腦是多麼的可怕,

有次我一時興起裝起了小紅傘去掃掃看,讓我驚訝了.......
(其實中毒後再裝防毒軟體也是沒有用的,砍掉重練比較快)
警報聲響不完Orz

今次自己班上的電腦,就算裝了卡巴斯基我也很驚訝.......

怎麼你們的隨身碟能夠毒成這樣(汗

連最新的Kavo變種都中了.......

且是已經把CC.exe和FF.exe給載回來了階段Orz

在我繼續這段故事前先讓各位認識一下隨身碟病毒

轉載自『奕瑞科技技術白皮書』

USB 病毒讓許多使用者和MIS頭痛不已,因為它防不勝防,殺了又中、中了再殺,無止盡的變種病毒更讓防毒軟體防不勝防。許多人認為抓不到病毒是防毒軟體的原罪,於是尋求其他的解決方案。但在之下,這些方法真的有效嗎?

本文將帶你深入了解 USB 病毒的危害、手法及防禦之道。

  • 去年,USB 病毒的主要目的是竊取線上遊戲的帳號和密碼,針對其目的而言,如果使用者本身沒有玩線上遊戲,這些病毒並不會帶來多大的損失,頂多只是看不到系統的隱藏檔,系統效能被拖慢一些。
  • 但在病毒持續變種之下,除了竊取帳號密碼,還會破壞網路裝置(網路中斷)無法進入安全模式停用防毒軟體無法執行某些程式…。當到這個階段,使用者才會感到麻煩大了。

在病毒感染的初期,使用者大多不知情,因為他們只是插入 USB 隨身碟存取資料。防毒軟體更新後,順利的偵測出病毒,一切又恢復正常。可惜好景不常,病毒作者一直改寫新的病毒,演化出破壞力更強大的病毒。加上它變種的速度比病毒碼更新的速度更快。當你更新完防毒軟體,可以偵測到病毒時,又有新的變種出現。

我們整理一下,當電腦遭受 USB 病毒感染後,可能會出現以下症狀:

  • 網路裝置元件故障:導致無法上網及更新病毒特徵碼
  • 破壞作業系統:導致程式執行發生錯誤、系統當機(BSOD)、系統日期錯誤
  • 破壞防毒軟體:導致防毒軟體無法運作,或部份元件無法執行
  • 解毒後可能無法直接開啟磁碟機,系統會詢問要以何種應用程式來開啟。或是出現程式執行錯誤的提示訊息。

如果發現電腦有上述症狀,建議立即中斷網路連線(拔除網路線),在確認安全之前,絕對不要使用此電腦登入帳號及密碼,以免被竊取。並且在解毒之後,立即變更密碼。

預設下,當電腦偵測到 USB 裝置時,Windows 系統會自動尋找並執行 autorun.inf,進而執行其他應用程式。而病毒也就是利用這個特性來感染。從 2006 年開始,USB 病毒的原型就已經現身,它使用的技術簡單、破壞力也不大,並沒有引起太大的討論。

二年時間過去,它已經不再只是使用單一技術與手法,而是混合多種技術來保護自己不被發現和清除,例如看門狗、自動隱藏、自動更新、社交工程…等。而感染管道也不僅只是 USB 裝置,它可以透過多種管道來危害你得電腦安全,例如網路磁碟、電子郵件附件檔或檔案。

為了讓使用者更了解 USB 病毒的感染和擴散方式,以下是我們針對 USB 病毒(Trojan-GameThief.Win32.OnLineGames.saro、Trojan-GameThief.Win32.Magania.ypk、Trojan-GameThief.Win32.OnLineGames.arvf)進行的分析:

 

  1. 在 tmep 資料夾產生 DLL 格式的木馬程式。
  2. 替換系統驅動程式檔案 vga.sys,造成防毒軟體元件損毀,無法進入安全模式。
  3. 產生隱藏屬性的檔案,例如:
    • windir\system32\kxvo.exe
    • windir\system32\kxvoX.dll(X為累加數)
  4. kxvoX.dll 插入 explorer.exe 執行程序,並持續惡意行為。

 

  1. IExplorer.exe 自動下載木馬程式 ff.exe 至 temp 下,此惡意軟體經常變種,名稱為 Trojan-GameThief.Win32.OnLineGames.xxxx。
  2. IExplorer.exe 會持續在 temp 路徑刪除與建立 ff.exe。

 

  1. ff.exe 執行後會破壞防毒軟體,或造成某些元件無法運作。
  2. 替換系統驅動程式檔案 tdi.sys。遭替換的 tdi.sys 檔案會造成網路裝置無法使用,在撥接上網時出現錯誤代碼769。
  3. 產生隱藏屬性的檔案,例如:
    • windir\system32\j3ewro.exe(Trojan.Win32.Vaklik.xxx)
    • windir\system32\jwedsfdo0.dll(Trojan-GameThief.win32.OnLineGames.xxxx)
  4. 新增登錄檔,以便在登入系統後自動執行惡意軟體。
  5. 當 jwedsfdo0.dll 插入 explorer.exe 執行程序後,由 jwedsfdo0.dll 持續惡意行為,ff.exe 即停止運作。
第4階段:IExplorer.exe自動下載惡意軟體
  1. IExplorer.exe 自動下載木馬程式 cc.exe 至 temp 路徑,此惡意軟體經常變種,名稱為 Trojan-GameThief.Win32.OnLineGames.xxxx。
  2. IExplorer.exe 會持續在 temp 路徑刪除與建立 cc.exe。
第5階段:惡意軟體藉由 explorer.exe 執行程序進行惡意攻擊
  1. 刪除 temp 路徑下 ff.exe 惡意軟體。
  2. 持續修改登錄檔,藉以隱藏惡意檔案。
  3. 新增登錄檔:當使用者透過「我的電腦」開啟任何磁碟區(包含隨身儲存裝置)時,就會觸發惡意軟體執行。
  4. 持續在磁碟根目錄刪除與建立 autorun.inf 及 39ysi89.com。
第6階段:cc.exe自動執行
  1. 如同 ff.exe,cc.exe 會下載 tdi.sys 並置換。
  2. 產生隱藏屬性的檔案,例如:
    • windir\system32\kxvo.exe(Trojan-GameThief.win32.Magania.xxx)
    • windir\system32\kxvoX.dll(Trojan-GameThief.win32.Magania.xxx)
  3. 新增登錄檔,以便在登入系統後自動執行惡意軟體。
  4. 當 kxvoX.dll 插入 explorer.exe 執行程序後,由 kxvoX.dll 持續惡意行為,cc.exe 即停止運作。
第7階段:惡意軟體會在開機時自動啟動及更新
你也許會問,為什麼防毒軟體無法提供有效的防護呢?
  • 其實答案很簡單。防毒軟體屬於被動防護,必須要有病毒特徵碼,才能偵測與解毒。當病毒樣本未被分析之前,防毒軟體就無法偵測。
  • 由於病毒持續的變種(透過網路下載新的變種病毒),防毒軟體需要持續更新資料庫,才能偵測出最新的病毒。
  • 但是在樣本回報和病毒碼釋出前的空窗期,防毒軟體並無法偵測新的變種。加上它能中斷網路(無法更新)和破壞防毒軟體(無法掃毒)。

第3階段:ff.exe 自動執行

第2階段:IExplorer.exe自動下載惡意軟體

第1階段:木馬程式開始執行

發現FF.exe的當下

也就是我們班電腦的卡巴斯基已經升天了(茶

老實說出現這樣的情況我寧可重灌了......

但是電腦老師們通常會說一句話:搞好它不然你們班賠

老實說我們學校的電腦老師有點廢就是了

電腦教室的還原卡只還原C槽.....特別留D槽養病毒嗎......
(連防毒都不裝.....)
還是打算開病毒博覽會......

讓我從來不敢在學校打帳號密碼.......

一打下去可能就悔恨終生了

不過老實說我有個衝動把我們班的電腦灌成Linux!

這樣就不用怕了(茶
(估計我會被殺了就是了)

到最後還是靠我去解決這件事Orz(已經夠忙了還來呀.....

其實有一些網路偏方是有用的下面做了一些整理

點擊放大

老實說要殺隨身碟病毒還真的有難度......(默

比一般病毒還難纏,會隱藏起來,當你再次點擊硬碟圖示時,再次觸發病毒.....

最後提供一些不錯用的USB防毒工具&方法

一、先行關閉電腦磁碟區的「系統還原」功能。

  • 系統還原功能能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。
  • 系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。

二、下載病毒快速刪除工具:

    • 執行上述病毒快速刪除軟體,進行下列工作
      • 刪除病毒檔案
      • 關閉病毒相關的的程式
      • 移除病毒所創建的啟動登錄項目
      • 更動要修改的登錄檔
      • 刪除每個硬碟根目錄下與病毒相關的程式

三、進入檔案總管(重點!請勿直接點選「我的電腦」進入各磁碟區

  • 進入「工具」、「資料夾選項」、「檢視」 
    • 點選「顯示系統資料夾的內容」
    • 點選「隱藏檔:顯示所有檔案和資料夾」
    • 取消「隱藏保護的作業系統檔案」
    • 取消「隱藏已知檔案類型的副檔名」

四、使用 CMD 進入 regedit msconfig 檢查相關資訊(確認是否有遺漏)。

  • 檢查的 KEYWORD 建議值如下:
  • 如有發現下列相關程式時,執行刪除動作。
    • cc.exe
    • ff.exe 
    • j3ewro.exe
    • kxvo.exe
    • nw0t1l0d.exe
    • pagefile.exe
    • taso.exe
    • tava.exe
    • tavo.exe

五、使用檔案總管進入下列資料夾清除相關檔案(通常病毒會偽裝成隱藏、系統檔,所以要特別留意圖示是半透明的

  • %Temp%\
    (清空該資料夾)
  • %windir%\
    (清除fly.exe;fly32.dll;poor.exe;poor32.dll)
  • %windir%\TEMP\
    (清空該資料夾)
  • %UserProfile%\Local Settings\Temp\
    (清空該資料夾)
  • %windir%\system32\
    (清除amvo*.dll;amvo.exe;amwo*.dll;amwo.exe;avpo*;vpo.exe;Bitkv*.dll;dnsq.dll;drivers\OLD*.tmp;EXPLORER.EXE;fly.exe;fly32.dll;fool*.dll;goods.exe;ieso*;j3ewro.exe;jvvo*;jvvo.exe;jwedsfdo*;kavo*.dll;kavo.exe;kxvo*;kxvo.exe;mcdcsrv32_080417.dll;mmso*.dll;mmso.exe;mmvo*.dll;mmvo.exe;Msi.exe;mxcdcsrv16_080417.dll;OLD*.tmp;poor.exe;poor32.dll;raidiap*.exe;shareb.exe;taso*.dll;taso.exe;tava*.dll;tava.exe;tavo*.dll;tavo.exe;ubs.exe;winhelp1.exe;winpows.exe)
  • %UserProfile%\「開始」功能表\程式集\啟動\
    (刪除此開機啟動資料夾中與啟動不相干的程式)
  • %ALLUSERSPROFILE%\「開始」功能表\程式集\啟動\
    (刪除此開機啟動資料夾中與啟動不相干的程式)

六.若上述相關病毒程式及附屬檔案無法刪除時,請下載下列程式進行強制刪除

  • WsyscheckWsyscheck_v1.68.33.rar ]
    [軟體版本] V1.68.33
    [軟體語言] 繁體中文
    [軟體簡介] 免安裝
     Wsyscheck 是一款手動清理病毒木馬的工具,其目的是簡化病毒木馬的識別與清理工作。
    一般來說,對病毒體的判斷主要可以採用檢查路徑、檢查檔名、檢查檔案建立日期、檢查檔案廠商、微軟檔案驗證、檢查啟動項目等方法,Wsyschck 在這些方面均盡量簡化作業,提供相關的資料供您分析。
    最終判斷並清理木馬取決於您個人的分析,以及對 Wsyscheck 基本功能的熟悉程度。
  • IceSwordIceSword_v1.22.rar ]
    [軟體版本] V1.22
    [軟體語言] 繁體中文
    [軟體簡介] 免安裝
    1、處理序項目中的模組搜尋
    2、登錄檔項目中的搜尋功能
    3、檔案項目中的搜尋功能,分別是 ADS 的列舉 (包含或不包含子目錄)、普通檔案搜尋 (Find Files)
    4、BHO 項目的刪除、SSDT 項目的恢復 (Restore)
    5、 Advanced Scan
    6、隱藏簽章項
    7、其它就是內部核心功能

最後只能說隨身碟很危險.......你刪完後難保下次插到你電腦的隨身碟裡沒有更猛的......

只能靠自身的一些知識來預防了

會長最高~

カテゴリ :《Blogの特別專題》 【補魔力の教學時間】 引用:(0) 留言:(30)
留言:
>>稟君
成功上勾(這是在釣魚嗎(炸
[2009/04/21 00:39] | Ickeal #- | [edit]
<<<為了菲特而來的純潔之人 參上
[2009/04/20 23:49] | 稟君 #- | [edit]
>>尋
跑過了我記得我那時還有發另一篇吧(茶

還有.....簡體的東西別用.....除非把XP改成簡體中文模式
不然很多東西都會衝到
看能不能用光碟修復吧
不能的話(默
重灌吧....
[2009/04/18 14:24] | Ickeal #- | [edit]
現在我一台電腦死機了
開機叫我選 正常 上一次 或 安全模式..
可是不管選哪個 都會回到這畫面來 = =
我在上一次開機後唯一做的大變動
就是
用了一個簡體的ef開機畫面
用replacer把它replace掉system32下面的東西...
是因為這衝到嘛?...
現在開不了機 心情更加鬱悶...(我ef安裝在上面呀!!還我!!)
有什麼解法沒?
[2009/04/18 13:57] | 尋 #- | [edit]
汗 一沒注意變成Guest了..
剛剛那個是我..
我可以說劇情差距很多...
ic你有去跑沒? 還是只看劇透?
[2009/04/18 13:54] | 尋 #- | [edit]
>>伊颯
恭喜啦
>>Guest
那篇是2DJ的捏它0.0
可能有地方搞錯了
[2009/04/18 09:29] | Ickeal #- | [edit]
我突然看到
你2008.5.31那篇ef...誤好大...
劇情搞錯很多....你是惡搞 還是 搞錯了?
--------------
ps. 我是搜索 ef 紙飛機 折法 才找到那篇的
ef那紙飛機怎麼折的呀...
[2009/04/18 07:55] | Guest #- | [edit]
太專業了

我終於又可以看到隱藏檔了~~
[2009/04/18 00:19] | 伊颯 #LkZag.iM | [edit]
>>清純月
你發作的太快了吧XD
>>尋
優子.....(淚目
[2009/04/17 18:02] | Ickeal #- | [edit]
謝謝 我只有執行那第一個檔 (張先生的) 這樣就夠了?
C D E又變的能直接點開了...

--------------------重要的事
剛剛 我跑完了ef the latter tale...
繼AIR之後 我又差點哭到脫水的東西....
最後 能夠"不再回頭"...這點 我很不能釋懷....
最後..實在是 太悲傷了吧.....即使 有宮子他們的幸福快樂..可是優子的只有那短短的一瞬....
鬱悶MODE MAX !
[2009/04/17 17:59] | 尋 #- | [edit]
久久沒來竟然更新了好幾篇啊啊啊!(炸

所以我現在幾乎都把我的夏娜隨身碟給封印起來了
我可不想從學校帶病毒回家讓我的本命中毒(茶

是說.....你們的五月病還沒發作嗎?
我好像提前感染了這樣...(誤
[2009/04/17 03:58] | 清純月 #- | [edit]
>>尋
看你個人的情況
你的話用2就能解決了
>>天冥
裡面都是暫存檔
清了之後正常程式的暫存檔會自動再生
而病毒主體清除後
沒把他的暫存檔清掉一樣會再生
[2009/04/17 01:35] | Ickeal #- | [edit]
話說你說要刪的……

%Temp%
(清空該資料夾)
%windir%
(清除fly.exe;fly32.dll;poor.exe;poor32.dll)
%windir%TEMP
(清空該資料夾)
%UserProfile%Local SettingsTemp
(清空該資料夾)
========================
真的要清空嗎-.-裡面幾十個檔,都刪掉感覺好可怕
[2009/04/17 01:19] | 天冥 #- | [edit]
你是說照著你說的所有的步驟走 還是只用步驟2?
[2009/04/16 23:51] | 尋 #- | [edit]
>>再把檔名改成.dat
更正是.bat(批次檔
[2009/04/16 20:39] | Ickeal #- | [edit]
最後補上一個最強USB病毒防範法:
用記事本把下面內容貼上
再把檔名改成.dat
內容如下
for %%x in (C D E F G H I J K) do (
attrib -r -s -h -a %%x:autorun.inf >nul &&del %%x:autorun.inf /q /f >nul )

每當USB碟一插上電腦後 ,在點開該USB碟前優先執行這批次檔一次 ,執行完再點開USB碟去看檔案 ,保證USB類病毒再怎樣改版 ,你都不用擔心會中任何新種USB病毒 ,此方法免費又簡易 ,理論上只要不是白癡 ,每個都能夠用得好
[2009/04/16 18:20] | Ickeal #- | [edit]
>>尋
是真的是Kavo
你去載kavo_killer(張書維先生製作)[ kavo_killer.rar ]
回去後按殺毒就可以了
隨身碟病毒變種防毒軟體比較難防(因為盛行區正好在台灣變種的量數以萬計)
>>天冥
是的懶的話就使用下面的快速清除工具
不是那樣打而是打regedit後再去搜尋
5.那部份直接丟到執行裡就可以了
[2009/04/16 18:18] | Ickeal #- | [edit]
喔……干?好複雜……看不懂……

想問下……

其實懶的話是不是只用<病毒快速刪除工具>掃掃就行了?=.=

不然想問問有關第4,第5點

4.是不是打
regedit cc.exe (我打這個它彈出視窗問是不是要將cc.exe新增登錄>yes>出現無法匯入cc.exe的錯誤是代表?
msconfig cc.exe (我打這個它說 不是內部或外部的命令,可執行的程式或批次檔)
這樣子查?

5.看不懂你的路徑……
%UserProfile%「開始」功能表程式集啟動
怎會有%的?-.-
[2009/04/16 03:12] | 天冥 #- | [edit]
反正隨身碟病毒這麼氾濫
現在目前是寧可跟他和平共存的狀態...
能用就繼續
不能用再說
我之前因為一直格式化隨身碟已經壞了一隻16G了...
用半吊子的量產工具救回來...
阿拉...寫入速度剩一半!
真是...
[2009/04/16 01:13] | 邱睪 #- | [edit]
話說 我這樣子很久了
卡巴也更新好幾次 全電腦掃毒也掃過沒事....
= = 抓網上病毒也抓的到...
真的中毒已深了嗎?
[2009/04/16 00:28] | 尋 #- | [edit]
kavo中期..不會吧...
會怎樣?
卡巴他自己有一天突然刪掉的
我的 CD E槽 都得用伸展打開....= =
ic你別嚇我 = =||
[2009/04/16 00:24] | 尋 #- | [edit]
>>路人甲
套一句話.....不上網就不會中毒了
>> 尋
恭喜你....Kavo中期
>>疾疾
有可能你的傳送那個封包的同時被監聽了
或是某邊資料洩露
只要OS不是Windows中毒的機會微乎其微呀XD
>> 用手機上網的八貓谷
我才不幹這種事呢
本來我連搞好我們班電腦的動力都沒了(茶
不重灌直接用CMD指令下去清除實在是挑戰我的極限........
[2009/04/15 21:34] | Ickeal #- | [edit]
我的意思其實是請你再提供一臺電腦(嚴重誤
[2009/04/15 14:30] | 用手機上網的八貓谷 #- | [edit]
灌OSx吧(爆

題外話

我倒是很在意為啥詐騙集團會知道我跟金石堂買東西... 是金石堂那邊呢?還是emailcash那邊出包呢? = =

[2009/04/15 11:45] | 疾疾 #- | [edit]
奇怪..我的卡巴老是會把我自己USB的autorun給刪掉..難道就是因為這個? = = 搞的我每次都在"我的電腦"那邊打不開 得到 左邊資料夾列 點那 "+" 伸展 才打的開我的 C D E槽....
我這樣很久了 = = 我以為是卡巴誤刪...
難道我已經中毒了?
[2009/04/15 11:05] | 尋 #- | [edit]
其實只要把硬碟格式化後什麼都不要灌就沒毒拉>_<!


(迷之聲:那電腦可以拿來幹什麼?)
[2009/04/15 08:33] | 路人甲 #- | [edit]
>>八貓谷
你一定沒好好看文章(茶
是我們班教室的電腦
其實中毒最好的解決方法就是重灌(笑
[2009/04/14 22:41] | Ickeal #- | [edit]
茶......

原來你也中了XD
但是我沒中喔~~(轉圈

是鳥鳥中的 他的也很棘手
除了你說的以上症狀
他還附加了把其他正常驅動程式偽裝成病毒讓你的卡八去殺它(囧

搞到最後電腦裡只能相信MP3和圖片以及映像檔,其他都要全部捨棄掉
我忘不了鳥鳥當時絕望以及老馬時的表情(笑
還有一個方法可以解決,就是都不灌防毒
那台就拿來動物園吧XD
然後另一台搞Linux(好用XD
[2009/04/14 22:04] | 八貓谷 #- | [edit]
>>邱睪

還原卡治標不治本.....
我們班的電腦也出現一堆奇奇怪怪的東西.....
隔壁班的電腦還出現.....
新天上碑!?(我超好奇誰搞的......
[2009/04/14 20:01] | Ickeal #- | [edit]
真專業阿www
其實灌成w98是一種很棒的解決方式
當然linux更好啦
不過用起來太綁手榜腳

想想高中那時候
還原晶片(晶片!)還被我們班拆了下來ˊˋ
裡面灌了東方花映稼...魔法氣泡faver
每天放學就上BBS
還裝了魔術方塊計時器wwww

阿阿真歡樂呢www
頭香!
[2009/04/14 19:38] | 邱睪 #- | [edit]












只對管理者顯示
引用:
引用 URL:
http://ickeal.blog125.fc2.com/tb.php/274-d5fa2ee7
<< topページへこのページの先頭へ >>
Blog Widget by LinkWithin