作者blman (我愛亦潔我愛亦潔)
看板AntiVirus
標題Re: [推薦] Combofix
時間Fri Feb 1 16:13:36 2008
RENV:: 的功能只限定某幾種 Vundo 的修正。
也就是 olliekr 大指出的。
Combofix 很貼心的會把這種 Vundo 感染的檔案在報告中用
pre 標籤的方式列出,方便我們找出來。
什麼時候會用到 RENV:: ?
當 Combofix 的報告中有類似底下這一段時,
<pre>
C:\Program Files\QuickTime\QTTask .exe
C:\Program Files\QuickTime\QTTask .exe
</pre>
怎麼用 RENV:: ?
以上面的情形為例,
RENV::
C:\Program Files\QuickTime\QTTask .exe
C:\Program Files\QuickTime\QTTask .exe
存在 CScript.txt 給 Combofix 跑。
實際上 Combofix 怎麼解的?
基本上把被換掉的原始檔案換回來。
如把 C:\Program Files\QuickTime\QTTask .exe 換回
C:\Program Files\QuickTime\QTTask.exe
實際上是:
If exist "C:\Program Files\QuickTime\QTTask
.exe" (
if exist "C:\Program Files\QuickTime\QTTask
.exe" \
Nircmd %killprocess% "C:\Program Files\QuickTime\QTTask
.exe"
move /y "C:\Program Files\QuickTime\QTTask
.exe" \
"C:\Program Files\QuickTime\QTTask.exe"
if exist "C:\Program Files\QuickTime\QTTask
.exe" \
MoveEx "C:\Program Files\QuickTime\QTTask
.exe" \
"C:\Program Files\QuickTime\QTTask.exe" &&type nul > CfReboot.dat
)>nul 2>&1
If exist "C:\Program Files\QuickTime\QTTask
.exe" (
if exist "C:\Program Files\QuickTime\QTTask
.exe" \
Nircmd %killprocess% "C:\Program Files\QuickTime\QTTask
.exe"
move /y "C:\Program Files\QuickTime\QTTask
.exe" \
"C:\Program Files\QuickTime\QTTask.exe"
if exist "C:\Program Files\QuickTime\QTTask
.exe" \
MoveEx "C:\Program Files\QuickTime\QTTask
.exe" \
"C:\Program Files\QuickTime\QTTask.exe" &&type nul > CfReboot.dat
)>nul 2>&1
這種 Vundo 是怎麼感染的?
1) 感染後他會把自己藏身在 Windows 系統槽中
2) 搜尋所有開機會自動啟動的程式
3) 將能感染的檔案 (如 a.exe),改檔名為多一個空間 (如 a .exe)
4) 然後將自己的惡意程式寫成 a.exe
重點在於,原本的檔名被改掉了,如此以後電腦開機就是執行惡意的那個程式。
大家可以想一下為什麼不直接感染執行檔,卻用改名的方式。
開會去 :)
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.109.22.221
1F:推 AppleFox:為什麼? 是可以裝成正常檔案 不被抓包嗎? 02/01 16:23
2F:推 cclai:推^^ 02/02 01:06
3F:推 VictorTom:自己當做Shell做想做的事, 再喚起原本正常的檔案工作~~ 02/02 02:28
4F:→ VictorTom:如此一來, user以為程式很正常, 就不會注意到中毒了?? 02/02 02:28
5F:→ VictorTom:也可以很粗糙的不要重覆感染自己, 不然馬上會被發現XD 02/02 02:29