與UACxxxx系列惡意程式對抗的過程

看板AntiVirus (防毒)作者ms16140864 (笨小孩)時間17年前 (2009/04/23 11:34)推噓5(5推 0噓 3→)

留言8則, 6人參與討論串1/1

不知標題要怎麼下, 就這樣寫吧 :p 前天早上接到學弟的通知, 他的電腦無法上網, 網路線拔掉會顯示斷線, 換別的switch port 一樣無法上網, 網路連線所顯示的進出封包都為0 , 經檢查後發現用安全模式進入會重開機無法成功, 用正常模式進入時, 背景出來後會等很久桌面才會出來我懶得等, 用工作管理員停掉explorer.exe 再重新執行, 桌面就比較快出來檢查日誌, 發現TCP/IP Protocol Driver 載入檔案失敗從別台電腦複製tcpip.sys 等程式, 再用winsockfix程式處理結果沒用網卡驅動程式重裝也沒用花了一個多小時亂試結果完全沒用. 有別的事要忙只好先放著昨天早上繼續奮鬥準備好windows xp開機光碟, 隨身碟裏準備好combofix, sreng2, hijackthis等工具先用combofix 結果沒反應, 只能用程式管理員停掉再來用 sreng2 看了老半天看不出問題, 用他的修復安全模式功能, 結果安全模式一樣不能用接下來用hijackthis 也是看老半天看不出問題接下來用XP光碟片開機進入主控台修復模式想說TCP/IP Protocol Driver載入檔案失敗就chkdsk修復看看用chkdsk /r 跑了一段時間 (剛好可以去吃午飯) 修復了一些錯誤重開一樣沒用沒輒了, 突然想到隨身碟裏有listdlls, 就拿來檢查看看吧檢查explorer.exe呼叫了那些dll 突然看到一個dll的路徑是 \\?\globalroot\systemroot\system32\UACxxxxxx.dll 咦! 不是c:\windows\system32, 用檔案管理員找不到該檔案於是再用XP光碟片開機進入主控台修復模式看結果有十幾個UAC開頭的檔案, 有.dll .log .dat .db 這些檔案剛剛用檔案管理員完全看不到由於主控台修復模式搬動檔案很麻煩於是把硬碟拆下來, 拿到另一台電腦處理將\windows\system32下 UAC開頭的十多個檔案都移到別的目錄下將\windows\system32\drivers下 UACnbgirxdqkkkjdat.sys 一樣搬走這些檔案的日期大多是2009/4/20晚上九點多然後把硬碟裝回來電腦開機後, 網路還是不通然後用安全模式進入, ok沒問題了, 選系統還原, 將系統回復到上週五還原完成就ok了當我要把那些移到別的目錄的UACxxxxx等檔案壓縮備份出來時 sophos防毒軟體竟然有抓到幾個dll檔有毒 (sorry, 晚點再補上什麼毒) 該壓縮檔就少了那幾個dll檔回家後解壓縮時, SEP11 找出其中一個dll檔 Packed.Generic.200 至於原本在\windows\system32\drivers下的 UACnbgirxdqkkkjdat.sys 這2個防毒軟體都沒反應玩到這裏, 一個很重要的東西還沒找到, 就是隱藏檔案的方法或許改天有時間我再找找看吧 :p 此次的心得就是不論用什麼軟體檢查, 有發現路徑為 \\?\ 開頭的都要特別注意是不是藏起來的東西 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.167.138.212