PALMisLIFE 討論區

標題: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥) [列印本頁]

作者: achen 時間: 2007-8-9 05:36
標題: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)
我大概已經十年沒有中過病毒了, 因為身為 IT 人員對這些東西有很高的警覺性
但是剛才不知道腦袋在想什麼, 居然接收並開啟了一個 pif 檔, 居然是在公司的電腦才慘

傳撥途徑:

MSN 訊息 (1): 下面其一
have you seen this picture yet?
what do you tink of this picture? i feel i look ugly
haha, is that you on that picture?
should i use this picture on msn?
here are a new pic of me
what do you think about this?
a few pictures from last week, see if you like em

MSN 訊息 (2): 附檔 pictures07-01.zip, 解開後為 DSC02996.pif
(檔的數字應該是隨機, 因為我去查 google 查不到)

中毒症狀:
MSN 狂開視窗 (我猜他是把同樣的東西送給所有在名單上的使用者, 但是因為我在兩秒內感覺不對, 馬上關掉, 所以沒有機會勘查它到底做了什麼事 )

解毒方法:
在下面的文章

心得:
1. 跟從我 MSN 帳號收到此病毒的朋友說聲抱歉 (PIL 上應該不多啦, 5~6 位吧)
2. 只能說我自己白痴, 連 pif 都開, 真是可以去一頭撞死了...
3. 中此毒的這台電腦, 我會等到找到解藥之後才開啟 MSN Messenger, 在那之前我還是保持關閉, 保險一點...

[ 本文最後由 achen 於 2007-8-9 00:03 編輯 ]

作者: Alias 時間: 2007-8-9 06:33
標題: Re: 中了 MSN 病毒... 幹到無力 (徵尋解藥)
好像不是新的病毒

http://www.symantec.com/security ... 2005-012013-2855-99

作者: 小酒蟲 時間: 2007-8-9 06:36
標題: Re: 中了 MSN 病毒... 幹到無力 (徵尋解藥)
PIF？真是令人懷念的古董。
搞不好很多新一代的 MIS 都沒聽過 PIF 是啥了。

作者: achen 時間: 2007-8-9 14:22
標題: Re: 中了 MSN 病毒... 幹到無力 (徵尋解藥)
病毒本身不是新的, 但是傳播方式是新的..

晚上我的 AntiVirus 抓到了這個病毒:
Exploit-MS04-011.gen

http://vil.nai.com/vil/content/v_125074.htm

作者: tkjoseph 時間: 2007-8-9 14:30
標題: Re: 中了 MSN 病毒... 幹到無力 (徵尋解藥)
前幾天我朋友也是傳這個病毒給我，
不過我習慣是有附件都刪掉，後來才知道朋友間災情嚴重…

作者: unicorn_khh 時間: 2007-8-9 15:22
標題: Re: 中了 MSN 病毒... 幹到無力 (徵尋解藥)
公司內部只放幾位可以用msn, 今天其中一位accounting　manager也是給我出狀況, 但我解法是去msconfig查不該有的startup 程式.

作者: achen 時間: 2007-8-9 15:39
標題: Re: 中了 MSN 病毒... 幹到無力 (徵尋解藥)
這個病毒變種太多, 所寄付的檔名都不一樣, 所以沒有一個適合所有版本的解毒方法
我結合了各家的方式, 寫出以下的"通用" 手動解毒法.

請先進入安全模式

1. C:\Documents and Settings\{中毒該使用者名稱} 下面會生出一堆莫名奇妙的檔案, 數量不定,但是都是六個字母, 用時間排序去找就可以很容易找到了.  先把所有的檔名寫下來, 然後殺掉

2. 用 regedit 根據上面所有的檔名一一搜尋, 找到就殺,

- 原則上會是在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 找到

- 但是如果你之前有用 msconfig 試圖過 disable 這些程式的話, 會在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg 裡找到

3. C:\WINDOWS\system32 下會出現一個新的 dll. 目前在網路上搜尋所看到的檔名有超過六種, 族繁不及備載, 但是我今天中的是 systesrt32.dll
若有被我傳染的朋友, 99.9% 是同一個檔名, 不確定的話請用時間排序來找.  先把那個檔名記下來, 然後殺掉

4. 接下來用 REGEDIT 去搜尋 3. 中所得的那個檔名, 會在 HKEY_CLASSES_ROOT\CLSID 下面找到一個
先把它所在的 key (機碼)名 {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} 記下來
然後把整個 key 殺掉

5. 到 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectDelayLoad
找到一項 data 內容與 4. 的 key 相符的資料, 殺掉 (我今天中的叫做 syshelps)

6.  最後, 在電腦裡搜尋 MSN 收下來的那個 zip 檔, 應該除了文件夾下的已接收檔案 folder 內以外, 還會有一份被拷貝到 C:\WINDOWS 或是 C:\WINDOWS\system32 下面.  全部殺掉. (其實這 zip 檔本身你不解壓縮並執行的話是無害的, 但是為了永除後患, 一定要記得清掉)

7. 重開機進入一般模式, 正常使用電腦.

==================================================================================
現在是半夜 12:40, 我今晚牽了新車回到家不到 15 分鐘, 就被老闆 call 到公司處理這事情
在這個一年一度加薪機會的八月出這種大槌, 牽新車的喜悅都沒了..... IT 人員把病毒弄進公司網路, 可以砍頭了....

[ 本文最後由 achen 於 2007-8-9 09:07 編輯 ]

作者: aziena 時間: 2007-8-9 16:06
標題: Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)
所以公司要全面封鎖 MSN 了？

我們公司是公關中獎……然後總公司就下令徹底執行禁 MSN ，但開放填單申請使用 MSN
（想也知道公關一定會申請……

）

作者: francis_lou 時間: 2007-8-9 16:11
標題: Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)
這種東西還真不好清啊... 清完還要觀察一陣子才知道有沒有根治...

作者: Jyzz 時間: 2007-8-10 02:29
標題: Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)
感謝分享+1
昨天也看到一位accountant 分散奇怪的照片壓縮檔
內容是 .scr

作者: chiu 時間: 2007-8-10 10:05
標題: Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)
前幾天也中這隻....

.scr的應該是這隻木馬程式 Trojan-PSW.Win32.OnLineGames.aeb （卡巴）

檔案直接用卡巴掃毒還掃不到，打開後發作開始丟檔案給MSN通訊錄人員

重開機後卡巴才抓到

這一隻會藏到windows還原點中，用卡巴清不乾淨，會一直再生出來

後來把windows還原關掉，再用卡巴全系統掃瞄，到目前為止還沒再長出來過

作者: unicorn_khh 時間: 2007-8-10 10:12
標題: Re: Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)

原文由 chiu 於 2007-8-10 10:05 發表
前幾天也中這隻....

.scr的應該是這隻木馬程式 Trojan-PSW.Win32.OnLineGames.aeb （卡巴）

檔案直接用卡巴掃毒還掃不到，打開後發作開始丟檔案給MSN通訊錄人員

重開機後卡巴才抓到 ...

對. 系統還原要強烈建議先關掉, 用achen的方法才能徹底清掉, 我的這個例子是發送photo.zip

作者: kentdong 時間: 2007-8-10 16:52
標題: Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)
還好有看到這篇
剛才前二分鐘前,以前同事才傳給我
就很機警的拒絕了~~
呼~~好險

作者: achen 時間: 2007-8-13 22:28
標題: Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)
過了一個周末, 電腦忽然在系統還原檔裡面掃到這個: http://vil.nai.com/vil/content/v_142395.htm, 正如 chiu 兄所說.

仔細看了一下, DAT 是在 8/10 更新的, 還好這條蟲的威脅性是 low, 而且看起來似乎是清乾淨了.

歡迎光臨 PALMisLIFE 討論區 (http://f.pil.tw/)