Re: [中毒] CNN 的郵件 藏木馬病毒
終於搞定了0rz
這rootkit有夠難纏的...
大概說明一下
那個假CNN 會產生一些檔案,但主要的檔案是
WINDOWS\system32\CbEvtSvc.exe
windows\System32\drivers\33acc6a7.sys
然後一個掛載服務 CbEvtSvc
一個掛載驅動 33acc6a7
難纏的在驅動 33acc6a7 這個上面
由於他存取了SSDT,所以部分有主動防禦型的防毒會掛點
並且利用一些技術將 33acc6a7 這個 掛載的驅動隱藏起來,一般登錄編輯器可以看到
整段機碼,但完全看不到裡面的值。
然而使用icesword 可以刪除,只不過馬上再生而已
同樣該檔案用icesword刪除後馬上再生。
使用catchme破壞該檔案後馬上修復自身0rz
基本上光靠Icesword刪除已經不夠力,必須要靠其他方式處理
這邊是使用Rename operations pending 的方式成功將檔案刪除掉 (要兩個檔一起)
刪掉之後使用icesword將被存取的SSDT還原
並將掛載的驅動登錄值刪除之後才解除狀況0rz
一般要碰到的話可能直接重灌會比較快。
遠端處理...我說實在的,我自己實際處理都弄很久了何況是遠端0rz
------------------------------------------------------
不然就用WinPE那一類的開機光碟刪吧,他還沒有隱藏檔案自身所以還是刪的掉
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 210.68.130.155
※ 編輯: junorn 來自: 210.68.130.155 (08/11 14:06)
討論串 (同標題文章)
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章