根据个人前天经验，防毒软体被关掉，又出现hldrrr.exe之类的档案， 应该是中了Bagle，板上的相关资讯可以找 "Bagle" 或是 "防毒软体灌不进去"， 在下修改了标题，这样无论是用哪个关键字，都找得到这篇文章。 病毒怎麽来的？要嘛是病毒信，不然就是来源不明的档案， 不太会莫名的中毒，我是在p2p网路上抓到假档中标。 觉得bbs很难阅读的，可以先看一下下面的网页，觉得有兴趣再往下看吧 http://www.cgs.tw/nucleus/blog/1/item/2307 http://www.mobile01.com/topicdetail.php?f=174&t=257773 该毒变种很多，不才中的版本只找到hldrrr.exe mdelk.exe srosa.sys， 这三个档案在病毒执行後会隐藏，要用IceSword之类的anti-rootkit才能清理， 如果你有看前面的网页，应该知道Bagle这只worm出现超过一年了， 可能会问，怎麽还有防毒软体抓不到？是的，就是抓不到， 而且我碰到的变种还用上了目前市面上流通最强的加壳工具THEMIDA， 防毒软体解壳能力不足的话，只能见一只杀一只。 接下来进入正文，我描述的情况以我碰到的版本为主 感染行为： worm本体会产生hldrrr.exe srosa.sys mdelk.exe(我的版本没产生Wintems.exe)， 然後随机挑选"startup"中的程式，以hldrrr.exe取代，我在4月2日晚上 碰到的是anydvd被取代掉。 nod32 2.70.39抓得到srosa.sys，却挡不住其他两个档案，然後就被破台了， 重开机後，我选择重灌nod32以及执行卡巴斯机的扫毒程式，皆无法执行， 当下觉得不妙，执行IceSword&Sreng看看是啥在作怪，冰刃挂点，Sreng执行受阻， Gmer也无法执行，小红伞的anti-rootkit工具也挂。 接着我想进入安全模式，失败，资讯安全中心也被关掉， 前面网页提到的版本，至少还可以进入安全模式。 (无法进入安全模式的修付方式很多可以用sreng的修复功能或是执行msconfig， 或修改登录档) ------------------休息一下--------------------- 解毒方式： 常用的工具都不能用怎麽办？ 我想起IceSword有一版的执行档是.scr，将执行档改成.scr後， 成功了，找到是hldrrr.exe在作怪，砍掉且从启动中移除後，重开机， 系统正常了一下，又出问题了，这次用IceSword&sreng重新检查，找到mdelk.exe srosa.sys(那些档案是真的被隐藏，不是隐藏属性打勾而已)， 意外找到的是anydvd的icon&版本号码错误->anydvd被调包，同上面网页所述。 (档案被掉包，砍掉先) 接着，以改过档名的IceSword重做一次删档动作，且制作假的hldrrr.exe mdelk.exe srosa.sys(这就是IceSword强大的地方，不用进入安全模式或重开机照样砍档)， 因为有点进展，抱着恶作剧的心理把gmer改成hldrrr.exe，居然也可以用了。 假档的制作方式，随便生个0byte的档案塞进去就对了，前面网页写说需要装regrun， 其实若能从sreng判断出什麽程式、驱动程式、服务是有问题的， regrun可以不用装，也就是说，该worm的DIY临时解法，用IceSword&SREng就够了。 其他： 4月2日晚上我知道中毒时，随手把档案传上virus total发现只有AVG能正确辨识， 其他一线二线厂如卡巴、avast、小红伞、McAfee、Panda、Eset、Symantec全挂， 小红伞不是会靠报壳当启发吗？照挂！接着在当天晚上11:00重新上传，卡巴抓得 到了，其他厂商一样挂点，nod32的部份，我在当天晚上更新为EAV 3.0後也抓得到了 (大概是那时的病毒码也跟着更新的缘故) 4月3日晚上，我又抓到类似的东西，这次学乖了，不执行，传到virus total， 这次连AVG在内的厂商全挂，有反应的少数厂商是乱报或是报THEMIDA， 至於4月2日的样本，4月3日重新扫描的结果除avast外，常见品牌几乎都抓到了。 4月4日上午重新上传4月3日的样本，除avast外，常见品牌都抓到了。 为何要加这段，我想告诉大家，该worm变种快又多，今天晚上才更新的病毒码， 隔天就破功了。 ---------------感谢大家看到这里--------------- 附图： http://www.pixnet.net/album/sdbb/1576938 图片1a不是我的原始档扫描结果，是之前其他网友的上传同样档案不同档名的 扫描结果，1b 1c则是我自己上传的结果。 有兴趣的人可以用hldrrr.exe srosa.sys mdelk.exe 当关键字， 在网路上找到更多讨论，对付这种worm，可能只有hips才挺得住。 (我没测过，hips应该没问题) anti-rootkit工具蒐集 http://www.antirootkit.com/software/index.htm 几间防毒软体大厂出的工具真的不怎麽样，小测了一下， 对此毒无效，建议下载该网站中评价五星的来用。 ※ 引述《MixCopy (Mix&Copy)》之铭言： : 根据个人前阵子经验 : 有可能的... : 如果至底三个扫LOG的档案 : COMBOFIX 跟 HiJackThis都无法执行 : 那就是中毒了...防毒软体会被关闭 : 出现"这不是正确的 Win32 应用程式" : 在安装防毒软体时会出现错误无法建立 : 就这三个档案Wintems.exe , hldrrr.exe, srora.sys : 我莫名的就中毒了= =|| : 明明没有在那时候灌啥软体...也没干麻的说 : 如果说不是这样的情形,建议你去找一下你先前的防毒有没有完全移除工具 : 先确认有完全移除後再灌其他防毒软体 : 不过要确认是否中毒?真的还是看至底扫个LOG : 这样板大跟其他强者才能判断解决喔 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 211.74.211.68