kingleo
進階會員
積分 2526
發文 269
註冊 2006-6-28
來自 花巷草弄12號
狀態 離線
|
#1 〔分享〕小紅傘 Antivir 是不錯,但總有發生意外的時候
事情原由是這樣子的
一如往常,上網撿東西,撿下來通常都是壓縮檔,這時候當然就得解壓縮啦!!
解壓縮檔案出來最先遭遇到的會是防毒軟體掃描
今天也沒例外,而檔案在自動掃描的同時,icon 一般都是空白的,掃完正常才會變成原本應該的樣子
就在某個檔案解壓縮完,打算把檔案從資料夾移到上一層的時候,icon 還沒變,就先剪下貼上了
過了幾秒鐘.... 開始不對勁了.....
沒有出現搬移成功的畫面
而且,檔案總管當掉了....
接著陸陸續續嘗試的幾個動作都顯示,系統某種程度 hold 住了
到最後,沒輒了
只能強制 reset 重開
一進到 windows,重點來了
我有灌 Spybot - Search & Destroy, 目的是要用它的 Tea Timer 監視器
這時候 Tea Timer 跳出了幾個有更動過的程序詢問是否允許
這時候映入眼簾有個新東西, svcchost 程序新增啟動為 Antivirus Updates
檔名一看就有問題.....
不過我還是讓他新增,然後我再手動去清除註冊表的部份,接著先去看 工作管理員,果然有一隻同名的在運作
接著去看事件檢視器,小紅傘是有攔截到,但是小紅傘跟著陣亡了
這時候我才發現,我的小紅傘並沒有啟動,NOD 則是有正常啟動
是的,我同時灌了 NOD 跟小紅傘
當下,用 NOD 去掃....沒反應
google 一下,果不其然是木馬的一種(好像是用來開後門盜取帳號用的)
而前陣子剛好有一篇抱怨 NOD 爛的 文章
Whisper 網兄有提供一個 virustotal 線上掃毒的網站
當下就把檔案丟上去給他分析了....
以下是掃描結果:
在這次的情況下,雖然有小紅傘當作第一道防護,不過小紅傘壯烈掛點
一般情況下假如沒有第二道防護,那麼,註冊表那邊就不知不覺被中木馬了
下面是註冊表其偽裝的情形:
當下,先用費爾木馬強力清除助手來砍(小紅傘已經陣亡了)
該檔案為隱藏屬性!!
重開機後,小紅傘就回來了....
本來....我想把樣本留一份下來
不過
原始壓縮檔在其他地方還可以抓到,所以樣本我就沒留了
以上這個案例僅僅提供大家參考....
這邊要說的是,千萬別太依賴單一軟體,有些病毒或是木馬就是針對特定軟體來攻擊
小心駛得萬年船.....
最後...
小紅傘真的是好猛呀∼∼∼ 免費的耶!!!!!
此文可轉貼!!!!!
[ Last edited by kingleo on 2007-7-1 at 04:28 AM ]
|
「生命若不是現在,那是何時?」 |
|
