Re: [方案] 60秒重開機的問題後續

看板AntiVirus (防毒)作者idaer (這是個充滿老梗的世界)時間17年前 (2008/10/01 12:49)推噓2(2推 0噓 11→)

留言13則, 4人參與討論串2/2 (看更多)

※ 引述《junorn (威廉華勒斯)》之銘言： : 目前這樣看應該是有點軟有新的漏洞被用來當作是攻擊了... : 而且是可以直接攻擊系統的..我猜的啦 : 而且目前似乎沒人知道這漏洞是從哪來的 : 所以...... : 這邊強烈建議會發生這種情形的人 : 因為似乎有新一波攻擊開始。 : 所以請務必安裝防火牆軟體 : 更強烈建議電腦前端另外接一顆IP分享器 : 避免又被攻擊。 : 另外EFix因為只有對應到系統內有SPRINT.DLL這檔的時候 : 才會檢查spoolsv.exe是不是有問題 ( 不能每次執行都作檢查，因為會有特例 ) : 所以如果再執行時發現EFix 沒有重新開機，並且沒有刪除任何檔案時 : 請先在windows\system32資料夾下建立一個sprint.dll檔案 : 讓EFix能夠幫你去判斷spoolsv.exe這檔案是不是有問題 : 我現在沒有時間能夠去更新EFix，而且攻擊方式並不明，這樣做也只能治標 : 無法治本.... : 所以還是強烈建議最少也要裝防火牆，起碼這樣能夠避免被直接攻擊。 : ---------------------------------------------------------------------- : 該攻擊手法是超過我能力範圍的事情，就不要太指望我能做些什麼了... : 除非有點軟或其他安全廠商能夠抓到這漏洞，不然永遠無解。這病毒被執行後似乎會有兩種結果: (1)第一種中毒情況很常見 svchost的數目增加數目至少6個然後被病毒修改過的spoolsv 會去調用svchost.exe 所以你在"工作管理員"底下可以看到有一個svchost 是以"目前使用者的名稱"執行的而spoolsv.exe的內容被修改了如下圖 http://messi.100webspace.net/spoolsv.jpg

左邊spoolsv的.....部分被病毒修改成可疑代碼具體行為不明?@@ 也許是為了讀取sprint.dll??? VT上的報告 http://www.virustotal.com/zh-tw/analisis/9a9dc22faf7be28a5b1dd44f8bf6f96d 被修改過的spoolsv跑去讀sprint.dll: http://messi.100webspace.net/spoolsv02.jpg

解決方式: #18tvrFHl 18000篇 (2)第二種中毒情況會發生在[病毒嘗試修改寫入spoolsv.exe失敗的時候!?] svchost的數目不變維持5個但是Volume Shadow Copy - vssvc.exe的服務被啟動了?! 啟動的目的不明?@@ 在"工作管理員"底下可以看到vssvc.exe http://messi.100webspace.net/vss01.jpg

病毒並沒有成功修改spoolsv.exe 所以你看到的檔案簽章狀態:Verified http://messi.100webspace.net/checkspoolsv.jpg

vssvc.exe 也沒有被修改只是不知道被病毒拿來做什麼事情@@ http://messi.100webspace.net/checkvssvc.jpg

而smlogsvc.exe的內容被病毒修改了如下圖 http://messi.100webspace.net/smlogsvc.jpg

VT上的報告 http://www.virustotal.com/zh-tw/analisis/947dce19c95fb71b37dd3690ba05adf1 smlogsvc被修改是用Filemon觀察到的 v2messen修改並寫入smlogsvc.exe http://messi.100webspace.net/trytomodify.jpg

被修改過的smlogsvc跑去讀sprint.dll: http://messi.100webspace.net/smlogsvc02.jpg

以上這兩種中毒情況在sytem32底下都會建立sprint.dll 解決方式: a. 先到"工作管理員"底下關掉 vssvc.exe 如果有看到 smlogsvc.exe 也一起關掉 b. 然後到開始 - 執行 - cmd 按enter 在C:\>底下輸入 sc stop vss 和 sc stop sysmonlog 關掉後的狀態: http://messi.100webspace.net/vss02.jpg

不放心的人請利用SRENG查看: SRENG - 啟動專案 - 服務 - Win32服務應用程式找[Volume Shadow Copy / VSS] 和 [Performance Logs and Alerts / Sysmonlog] 狀態應該都是Stopped/Manual Start c. 再到C:\windows\system32\dllcache底下 **要先把"隱藏保護的作業系統檔案"打開才看的到dllcache資料夾將無毒的smlogsvc.exe複製到C:\windows\system32\底下 d.將c:\windows\system32\sprint.dll 刪掉 e.重開機看看有沒有好轉沒有的話...我也不知道該怎麼辦了另外病毒沒有修改dllcache目錄裡的spoolsv.exe跟smlogsvc.exe 至少我執行的時候沒有檢查結果如下 D:\>sigcheck %systemroot%\system32\dllcache\spoolsv.exe sigcheck v1.53 - sigcheck Copyright (C) 2004-2008 Mark Russinovich Sysinternals - www.sysinternals.com c:\windows\system32\dllcache\spoolsv.exe: Verified: Signed Signing date: ?? 01:48 2008/4/15 Publisher: Microsoft Corporation Description: Spooler SubSystem App Product: Microsoft?Windows?Operating System Version: 5.1.2600.5512 File version: 5.1.2600.5512 (xpsp.080413-0852) D:\>sigcheck %systemroot%\system32\dllcache\smlogsvc.exe sigcheck v1.53 - sigcheck Copyright (C) 2004-2008 Mark Russinovich Sysinternals - www.sysinternals.com c:\windows\system32\dllcache\smlogsvc.exe: Verified: Signed Signing date: ?? 01:48 2008/4/15 Publisher: Microsoft Corporation Description: Performance Logs and Alerts Service Product: Microsoft(R) Windows(R) Operating System Version: 5.1.2600.5512 File version: 5.1.2600.5512 (xpsp.080413-2108) 最後...被入侵的原因不明@@? 目前我還沒遇到60秒病毒也許是運氣的問題...who knows? 提一下我的環境: 作業系統: XP SP3 繁體中文專業版微軟更新保持最新網路:Hinet寬頻沒有固定ip 不過我常常電腦一開就開一整天軟體:有裝comodo 防火牆軟體/有用P2P/防毒用AVG -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.138.61.173 ※ 編輯: idaer 來自: 220.138.61.173 (10/01 12:52) ※ 編輯: idaer 來自: 220.138.61.173 (10/01 12:54)