作者blman (我爱亦洁我爱亦洁)
看板AntiVirus
标题Re: [推荐] Combofix
时间Fri Feb 1 16:13:36 2008
RENV:: 的功能只限定某几种 Vundo 的修正。
也就是 olliekr 大指出的。
Combofix 很贴心的会把这种 Vundo 感染的档案在报告中用
pre 标签的方式列出,方便我们找出来。
什麽时候会用到 RENV:: ?
当 Combofix 的报告中有类似底下这一段时,
<pre>
C:\Program Files\QuickTime\QTTask .exe
C:\Program Files\QuickTime\QTTask .exe
</pre>
怎麽用 RENV:: ?
以上面的情形为例,
RENV::
C:\Program Files\QuickTime\QTTask .exe
C:\Program Files\QuickTime\QTTask .exe
存在 CScript.txt 给 Combofix 跑。
实际上 Combofix 怎麽解的?
基本上把被换掉的原始档案换回来。
如把 C:\Program Files\QuickTime\QTTask .exe 换回
C:\Program Files\QuickTime\QTTask.exe
实际上是:
If exist "C:\Program Files\QuickTime\QTTask
.exe" (
if exist "C:\Program Files\QuickTime\QTTask
.exe" \
Nircmd %killprocess% "C:\Program Files\QuickTime\QTTask
.exe"
move /y "C:\Program Files\QuickTime\QTTask
.exe" \
"C:\Program Files\QuickTime\QTTask.exe"
if exist "C:\Program Files\QuickTime\QTTask
.exe" \
MoveEx "C:\Program Files\QuickTime\QTTask
.exe" \
"C:\Program Files\QuickTime\QTTask.exe" &&type nul > CfReboot.dat
)>nul 2>&1
If exist "C:\Program Files\QuickTime\QTTask
.exe" (
if exist "C:\Program Files\QuickTime\QTTask
.exe" \
Nircmd %killprocess% "C:\Program Files\QuickTime\QTTask
.exe"
move /y "C:\Program Files\QuickTime\QTTask
.exe" \
"C:\Program Files\QuickTime\QTTask.exe"
if exist "C:\Program Files\QuickTime\QTTask
.exe" \
MoveEx "C:\Program Files\QuickTime\QTTask
.exe" \
"C:\Program Files\QuickTime\QTTask.exe" &&type nul > CfReboot.dat
)>nul 2>&1
这种 Vundo 是怎麽感染的?
1) 感染後他会把自己藏身在 Windows 系统槽中
2) 搜寻所有开机会自动启动的程式
3) 将能感染的档案 (如 a.exe),改档名为多一个空间 (如 a .exe)
4) 然後将自己的恶意程式写成 a.exe
重点在於,原本的档名被改掉了,如此以後电脑开机就是执行恶意的那个程式。
大家可以想一下为什麽不直接感染执行档,却用改名的方式。
开会去 :)
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.109.22.221
1F:推 AppleFox:为什麽? 是可以装成正常档案 不被抓包吗? 02/01 16:23
2F:推 cclai:推^^ 02/02 01:06
3F:推 VictorTom:自己当做Shell做想做的事, 再唤起原本正常的档案工作~~ 02/02 02:28
4F:→ VictorTom:如此一来, user以为程式很正常, 就不会注意到中毒了?? 02/02 02:28
5F:→ VictorTom:也可以很粗糙的不要重覆感染自己, 不然马上会被发现XD 02/02 02:29