根據個人前天經驗，防毒軟體被關掉，又出現hldrrr.exe之類的檔案， 應該是中了Bagle，板上的相關資訊可以找 "Bagle" 或是 "防毒軟體灌不進去"， 在下修改了標題，這樣無論是用哪個關鍵字，都找得到這篇文章。 病毒怎麼來的？要嘛是病毒信，不然就是來源不明的檔案， 不太會莫名的中毒，我是在p2p網路上抓到假檔中標。 覺得bbs很難閱讀的，可以先看一下下面的網頁，覺得有興趣再往下看吧 http://www.cgs.tw/nucleus/blog/1/item/2307 http://www.mobile01.com/topicdetail.php?f=174&t=257773 該毒變種很多，不才中的版本只找到hldrrr.exe mdelk.exe srosa.sys， 這三個檔案在病毒執行後會隱藏，要用IceSword之類的anti-rootkit才能清理， 如果你有看前面的網頁，應該知道Bagle這隻worm出現超過一年了， 可能會問，怎麼還有防毒軟體抓不到？是的，就是抓不到， 而且我碰到的變種還用上了目前市面上流通最強的加殼工具THEMIDA， 防毒軟體解殼能力不足的話，只能見一隻殺一隻。 接下來進入正文，我描述的情況以我碰到的版本為主 感染行為： worm本體會產生hldrrr.exe srosa.sys mdelk.exe(我的版本沒產生Wintems.exe)， 然後隨機挑選"startup"中的程式，以hldrrr.exe取代，我在4月2日晚上 碰到的是anydvd被取代掉。 nod32 2.70.39抓得到srosa.sys，卻擋不住其他兩個檔案，然後就被破台了， 重開機後，我選擇重灌nod32以及執行卡巴斯機的掃毒程式，皆無法執行， 當下覺得不妙，執行IceSword&Sreng看看是啥在作怪，冰刃掛點，Sreng執行受阻， Gmer也無法執行，小紅傘的anti-rootkit工具也掛。 接著我想進入安全模式，失敗，資訊安全中心也被關掉， 前面網頁提到的版本，至少還可以進入安全模式。 (無法進入安全模式的修付方式很多可以用sreng的修復功能或是執行msconfig， 或修改登錄檔) ------------------休息一下--------------------- 解毒方式： 常用的工具都不能用怎麼辦？ 我想起IceSword有一版的執行檔是.scr，將執行檔改成.scr後， 成功了，找到是hldrrr.exe在作怪，砍掉且從啟動中移除後，重開機， 系統正常了一下，又出問題了，這次用IceSword&sreng重新檢查，找到mdelk.exe srosa.sys(那些檔案是真的被隱藏，不是隱藏屬性打勾而已)， 意外找到的是anydvd的icon&版本號碼錯誤->anydvd被調包，同上面網頁所述。 (檔案被掉包，砍掉先) 接著，以改過檔名的IceSword重做一次刪檔動作，且製作假的hldrrr.exe mdelk.exe srosa.sys(這就是IceSword強大的地方，不用進入安全模式或重開機照樣砍檔)， 因為有點進展，抱著惡作劇的心理把gmer改成hldrrr.exe，居然也可以用了。 假檔的製作方式，隨便生個0byte的檔案塞進去就對了，前面網頁寫說需要裝regrun， 其實若能從sreng判斷出什麼程式、驅動程式、服務是有問題的， regrun可以不用裝，也就是說，該worm的DIY臨時解法，用IceSword&SREng就夠了。 其他： 4月2日晚上我知道中毒時，隨手把檔案傳上virus total發現只有AVG能正確辨識， 其他一線二線廠如卡巴、avast、小紅傘、McAfee、Panda、Eset、Symantec全掛， 小紅傘不是會靠報殼當啟發嗎？照掛！接著在當天晚上11:00重新上傳，卡巴抓得 到了，其他廠商一樣掛點，nod32的部份，我在當天晚上更新為EAV 3.0後也抓得到了 (大概是那時的病毒碼也跟著更新的緣故) 4月3日晚上，我又抓到類似的東西，這次學乖了，不執行，傳到virus total， 這次連AVG在內的廠商全掛，有反應的少數廠商是亂報或是報THEMIDA， 至於4月2日的樣本，4月3日重新掃描的結果除avast外，常見品牌幾乎都抓到了。 4月4日上午重新上傳4月3日的樣本，除avast外，常見品牌都抓到了。 為何要加這段，我想告訴大家，該worm變種快又多，今天晚上才更新的病毒碼， 隔天就破功了。 ---------------感謝大家看到這裡--------------- 附圖： http://www.pixnet.net/album/sdbb/1576938 圖片1a不是我的原始檔掃描結果，是之前其他網友的上傳同樣檔案不同檔名的 掃描結果，1b 1c則是我自己上傳的結果。 有興趣的人可以用hldrrr.exe srosa.sys mdelk.exe 當關鍵字， 在網路上找到更多討論，對付這種worm，可能只有hips才挺得住。 (我沒測過，hips應該沒問題) anti-rootkit工具蒐集 http://www.antirootkit.com/software/index.htm 幾間防毒軟體大廠出的工具真的不怎麼樣，小測了一下， 對此毒無效，建議下載該網站中評價五星的來用。 ※ 引述《MixCopy (Mix&Copy)》之銘言： : 根據個人前陣子經驗 : 有可能的... : 如果至底三個掃LOG的檔案 : COMBOFIX 跟 HiJackThis都無法執行 : 那就是中毒了...防毒軟體會被關閉 : 出現"這不是正確的 Win32 應用程式" : 在安裝防毒軟體時會出現錯誤無法建立 : 就這三個檔案Wintems.exe , hldrrr.exe, srora.sys : 我莫名的就中毒了= =|| : 明明沒有在那時候灌啥軟體...也沒幹麻的說 : 如果說不是這樣的情形,建議你去找一下你先前的防毒有沒有完全移除工具 : 先確認有完全移除後再灌其他防毒軟體 : 不過要確認是否中毒?真的還是看至底掃個LOG : 這樣板大跟其他強者才能判斷解決喔 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 211.74.211.68