Re: [推薦] Combofix

看板AntiVirus (防毒)作者blman (我愛亦潔我愛亦潔)時間17年前 (2008/02/01 16:13)推噓3(3推 0噓 2→)

留言5則, 3人參與討論串7/7 (看更多)

RENV:: 的功能只限定某幾種 Vundo 的修正。也就是 olliekr 大指出的。 Combofix 很貼心的會把這種 Vundo 感染的檔案在報告中用 pre 標籤的方式列出，方便我們找出來。什麼時候會用到 RENV:: ？當 Combofix 的報告中有類似底下這一段時， <pre> C:\Program Files\QuickTime\QTTask .exe C:\Program Files\QuickTime\QTTask .exe </pre> 怎麼用 RENV:: ？以上面的情形為例， RENV:: C:\Program Files\QuickTime\QTTask .exe C:\Program Files\QuickTime\QTTask .exe 存在 CScript.txt 給 Combofix 跑。實際上 Combofix 怎麼解的？基本上把被換掉的原始檔案換回來。如把 C:\Program Files\QuickTime\QTTask .exe 換回 C:\Program Files\QuickTime\QTTask.exe 實際上是： If exist "C:\Program Files\QuickTime\QTTask .exe" ( if exist "C:\Program Files\QuickTime\QTTask .exe" \ Nircmd %killprocess% "C:\Program Files\QuickTime\QTTask .exe" move /y "C:\Program Files\QuickTime\QTTask .exe" \ "C:\Program Files\QuickTime\QTTask.exe" if exist "C:\Program Files\QuickTime\QTTask .exe" \ MoveEx "C:\Program Files\QuickTime\QTTask .exe" \ "C:\Program Files\QuickTime\QTTask.exe" &&type nul > CfReboot.dat )>nul 2>&1 If exist "C:\Program Files\QuickTime\QTTask .exe" ( if exist "C:\Program Files\QuickTime\QTTask .exe" \ Nircmd %killprocess% "C:\Program Files\QuickTime\QTTask .exe" move /y "C:\Program Files\QuickTime\QTTask .exe" \ "C:\Program Files\QuickTime\QTTask.exe" if exist "C:\Program Files\QuickTime\QTTask .exe" \ MoveEx "C:\Program Files\QuickTime\QTTask .exe" \ "C:\Program Files\QuickTime\QTTask.exe" &&type nul > CfReboot.dat )>nul 2>&1 這種 Vundo 是怎麼感染的？ 1) 感染後他會把自己藏身在 Windows 系統槽中 2) 搜尋所有開機會自動啟動的程式 3) 將能感染的檔案 (如 a.exe)，改檔名為多一個空間 (如 a .exe) 4) 然後將自己的惡意程式寫成 a.exe 重點在於，原本的檔名被改掉了，如此以後電腦開機就是執行惡意的那個程式。大家可以想一下為什麼不直接感染執行檔，卻用改名的方式。開會去 :) -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.109.22.221