Re: [方案] weiai.exe

看板AntiVirus (防毒)作者chang0206 (Eric Chang)時間17年前 (2008/10/17 10:38)推噓1(1推 0噓 1→)

留言2則, 1人參與討論串2/2 (看更多)

※ 引述《junorn (威廉華勒斯)》之銘言： : 主要最難搞的地方在他會將windows\system32\rpcss.dll : 和system32\dllcache\rpcss.dll替換成病毒程序 : rpcss.dll被替換成病毒程序.... : 輕則工作列異常，如開始功能表沒反應或錯亂 : 複製貼上功能失效 : 重則windows根本開不起來或一直跳60秒重開機... : 又由於是rpcss.dll被替換成病毒程序，置底的EFix目前是會判斷該檔會有問題 : 所以會刪除，但通常這一刪要重開機才行 : 而重開後因為沒辦法載入rpcss.dll，所以就一定會出現上述問題。 : .....目前頭大中0rz : 因為他會連dllcache的一起替換，這樣沒有辦法補回去 : 沒辦法補回去的情形下，不管有沒有跑過EF重開機可能都會出問題... : 我自己的虛擬機也還在修理中0rz : 目前清除的方式是 : 先刪除病毒並刪除rpcss.dll，重開機後用cmd模式將rpcss.dll補回去 : 在跑sfc讓windows自己去驗證檔案...0rz : 不過因為該病毒還含有下載木馬功能，所以還沒有全部清除完 : 頭大... 最近常看到這種替換系統文件的病毒。我在想啊，這些文件是不是能夠把他上鎖？不只是改成唯讀，如果按照之前測試的方法，利用CACLS去設定權限，直接把檔案直接鎖死，不知道會不會影響系統運作？另外，之前一直有個想法，我測試過以同樣版本的XP安裝光碟(不管是X版或自己作的整合) 然後在system32底下抓了幾個 .exe 出來測試，發現用同樣加密標準去運算hash 會得到相同的結果。那是不是說，我們可以在系統剛建立的時候，就針對系統文件作HASH及備份。然後看怎樣在每次開機系統調用文件之前，先去比對hash。如果發現不相符，那大概就可以合理認定檔案被異動過。這樣多少能有點警惕效果？ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.87.137.85