PALMisLIFE 討論區

搜索
鹹魚爸魅力四射舞蹈教室
查看: 10845|回復: 13
打印 上一主題 下一主題

中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)

[複製鏈接]

515

主題

9

好友

4504

積分

  • TA的每日心情
    開心
    2011-4-13 15:03
  • 簽到天數: 1 天

    連續簽到: 1 天

    [LV.1]初來乍到

    文章
    3747
    跳轉到指定樓層
    1#
    發表於 2007-8-9 05:36 |只看該作者 |倒序瀏覽
    我大概已經十年沒有中過病毒了, 因為身為 IT 人員對這些東西有很高的警覺性
    但是剛才不知道腦袋在想什麼, 居然接收並開啟了一個 pif 檔, 居然是在公司的電腦才慘

    傳撥途徑:

    MSN 訊息 (1):  下面其一
    have you seen this picture yet?
    what do you tink of this picture? i feel i look ugly
    haha, is that you on that picture?
    should i use this picture on msn?
    here are a new pic of me
    what do you think about this?
    a few pictures from last week, see if you like em


    MSN 訊息 (2): 附檔 pictures07-01.zip, 解開後為 DSC02996.pif
    (檔的數字應該是隨機, 因為我去查 google 查不到)

    中毒症狀:
    MSN 狂開視窗 (我猜他是把同樣的東西送給所有在名單上的使用者, 但是因為我在兩秒內感覺不對, 馬上關掉, 所以沒有機會勘查它到底做了什麼事 )

    解毒方法:
    在下面的文章

    心得:
    1. 跟從我 MSN 帳號收到此病毒的朋友說聲抱歉 (PIL 上應該不多啦, 5~6 位吧)
    2. 只能說我自己白痴, 連 pif 都開, 真是可以去一頭撞死了...
    3. 中此毒的這台電腦, 我會等到找到解藥之後才開啟 MSN Messenger, 在那之前我還是保持關閉, 保險一點...

    [ 本文最後由 achen 於 2007-8-9 00:03 編輯 ]
    分享淘帖0 分享分享0 收藏收藏0 頂0 踩0
    SugarSync 點此註冊, 謝謝
    [url=http://db.tt/nHX1VKU]Dropbox 點

    55

    主題

    0

    好友

    307

    積分

    該用戶從未簽到

    文章
    684
    2#
    發表於 2007-8-9 06:33 |只看該作者

    Re: 中了 MSN 病毒... 幹到無力 (徵尋解藥)

    好像不是新的病毒

    http://www.symantec.com/security ... 2005-012013-2855-99
    回復

    使用道具 舉報

    1234

    主題

    10

    好友

    1萬

    積分

    該用戶從未簽到

    文章
    23084
    3#
    發表於 2007-8-9 06:36 |只看該作者

    Re: 中了 MSN 病毒... 幹到無力 (徵尋解藥)

    PIF?真是令人懷念的古董。
    搞不好很多新一代的 MIS 都沒聽過 PIF 是啥了。
    [1996] 神寶 Palmax PD-95T [2000] Palm IIIx [2001] SONY S300, HandEra330 [2002] Diamond Mako, CASIO G-FORT, JVC MP-C102, SONY SL10, SHARP SL-5500 [2003] SHARP SL-C700, SONY NZ90/NX60, NEC Sigmarion III, SONY NX73V/U [2004] SONY NX73V/E, SHARP SL-6000L, Handspring treo 600 [2005] SE P900i, Tapwave Zodiac 2 [2006] Garmin iQue 3600, Palm Treo 650/680 [2007] Nokia 9300i/E61 [2008] Nokia E70/E90 [2010]
    回復

    使用道具 舉報

    515

    主題

    9

    好友

    4504

    積分

  • TA的每日心情
    開心
    2011-4-13 15:03
  • 簽到天數: 1 天

    連續簽到: 1 天

    [LV.1]初來乍到

    文章
    3747
    4#
    發表於 2007-8-9 14:22 |只看該作者

    Re: 中了 MSN 病毒... 幹到無力 (徵尋解藥)

    病毒本身不是新的, 但是傳播方式是新的..

    晚上我的 AntiVirus 抓到了這個病毒:
    Exploit-MS04-011.gen

    http://vil.nai.com/vil/content/v_125074.htm
    SugarSync 點此註冊, 謝謝
    [url=http://db.tt/nHX1VKU]Dropbox 點
    回復

    使用道具 舉報

    439

    主題

    23

    好友

    4901

    積分

    該用戶從未簽到

    文章
    5550
    5#
    發表於 2007-8-9 14:30 |只看該作者

    Re: 中了 MSN 病毒... 幹到無力 (徵尋解藥)

    前幾天我朋友也是傳這個病毒給我,
    不過我習慣是有附件都刪掉,後來才知道朋友間災情嚴重…
    200 字元以內
    不支援自行定義 Discuz! 代碼
    回復

    使用道具 舉報

    87

    主題

    0

    好友

    238

    積分

    該用戶從未簽到

    文章
    499
    6#
    發表於 2007-8-9 15:22 |只看該作者

    Re: 中了 MSN 病毒... 幹到無力 (徵尋解藥)

    公司內部只放幾位可以用msn, 今天其中一位accounting manager也是給我出狀況, 但我解法是去msconfig查不該有的startup 程式.
    已有 1 人評分分享 收起 理由
    achen + 5 這我也試過, 但是無法根治, 請看下面

    總評分: 分享 + 5   查看全部評分

    回復

    使用道具 舉報

    515

    主題

    9

    好友

    4504

    積分

  • TA的每日心情
    開心
    2011-4-13 15:03
  • 簽到天數: 1 天

    連續簽到: 1 天

    [LV.1]初來乍到

    文章
    3747
    7#
    發表於 2007-8-9 15:39 |只看該作者

    Re: 中了 MSN 病毒... 幹到無力 (徵尋解藥)

    這個病毒變種太多,   所寄付的檔名都不一樣, 所以沒有一個適合所有版本的解毒方法
    我結合了各家的方式, 寫出以下的"通用" 手動解毒法.

    請先進入安全模式

    1. C:\Documents and Settings\{中毒該使用者名稱} 下面會生出一堆莫名奇妙的檔案, 數量不定,但是都是六個字母, 用時間排序去找就可以很容易找到了.  先把所有的檔名寫下來, 然後殺掉

    2. 用 regedit 根據上面所有的檔名一一搜尋, 找到就殺,

    - 原則上會是在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 找到

    - 但是如果你之前有用 msconfig 試圖過 disable 這些程式的話, 會在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg 裡找到

    3. C:\WINDOWS\system32 下會出現一個新的 dll. 目前在網路上搜尋所看到的檔名有超過六種, 族繁不及備載, 但是我今天中的是 systesrt32.dll
    若有被我傳染的朋友, 99.9% 是同一個檔名, 不確定的話請用時間排序來找.  先把那個檔名記下來, 然後殺掉

    4. 接下來用 REGEDIT 去搜尋 3. 中所得的那個檔名, 會在 HKEY_CLASSES_ROOT\CLSID 下面找到一個
    先把它所在的 key (機碼)名 {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} 記下來
    然後把整個 key 殺掉

    5. 到 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectDelayLoad
    找到一項 data 內容與 4. 的 key 相符的資料, 殺掉 (我今天中的叫做 syshelps)

    6.  最後, 在電腦裡搜尋 MSN 收下來的那個 zip 檔, 應該除了文件夾下的已接收檔案 folder 內以外, 還會有一份被拷貝到 C:\WINDOWS 或是 C:\WINDOWS\system32 下面.  全部殺掉. (其實這 zip 檔本身你不解壓縮並執行的話是無害的, 但是為了永除後患, 一定要記得清掉)

    7. 重開機進入一般模式, 正常使用電腦.

    ==================================================================================
    現在是半夜 12:40, 我今晚牽了新車回到家不到 15 分鐘, 就被老闆 call 到公司處理這事情
    在這個一年一度加薪機會的八月出這種大槌, 牽新車的喜悅都沒了..... IT 人員把病毒弄進公司網路, 可以砍頭了....

    [ 本文最後由 achen 於 2007-8-9 09:07 編輯 ]
    已有 2 人評分分享 收起 理由
    tsyang + 5 很詳細的解法!
    asure + 10 感謝提供

    總評分: 分享 + 15   查看全部評分

    SugarSync 點此註冊, 謝謝
    [url=http://db.tt/nHX1VKU]Dropbox 點
    回復

    使用道具 舉報

    19

    主題

    1

    好友

    2123

    積分

  • TA的每日心情
    奮斗
    2014-10-20 10:37
  • 簽到天數: 672 天

    連續簽到: 1 天

    [LV.9]以壇為家II

    文章
    486
    8#
    發表於 2007-8-9 16:06 |只看該作者

    Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)

    所以公司要全面封鎖 MSN 了?

    我們公司是公關中獎……然後總公司就下令徹底執行禁 MSN ,但開放填單申請使用 MSN
    (想也知道公關一定會申請……
    編寫程式時,
    請假設將來維護這個程式的人是有暴力傾向的,
    而且……他知道您住在哪裡。
    回復

    使用道具 舉報

    145

    主題

    7

    好友

    1881

    積分

    該用戶從未簽到

    文章
    2481
    9#
    發表於 2007-8-9 16:11 |只看該作者

    Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)

    這種東西還真不好清啊... 清完還要觀察一陣子才知道有沒有根治...


    回復

    使用道具 舉報

    8

    主題

    0

    好友

    133

    積分

    該用戶從未簽到

    文章
    133
    10#
    發表於 2007-8-10 02:29 |只看該作者

    Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)

    感謝分享+1
    昨天也看到一位accountant 分散奇怪的照片壓縮檔
    內容是 .scr
    回復

    使用道具 舉報

    41

    主題

    0

    好友

    275

    積分

    該用戶從未簽到

    文章
    396
    11#
    發表於 2007-8-10 10:05 |只看該作者

    Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)

    前幾天也中這隻....  

    .scr的應該是這隻木馬程式 Trojan-PSW.Win32.OnLineGames.aeb (卡巴)

    檔案直接用卡巴掃毒還掃不到,打開後發作開始丟檔案給MSN通訊錄人員

    重開機後卡巴才抓到   

    這一隻會藏到windows還原點中,用卡巴清不乾淨,會一直再生出來

    後來把windows還原關掉,再用卡巴全系統掃瞄,到目前為止還沒再長出來過
    回復

    使用道具 舉報

    87

    主題

    0

    好友

    238

    積分

    該用戶從未簽到

    文章
    499
    12#
    發表於 2007-8-10 10:12 |只看該作者

    Re: Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)

    原文由 chiu 於 2007-8-10 10:05 發表
    前幾天也中這隻....  

    .scr的應該是這隻木馬程式 Trojan-PSW.Win32.OnLineGames.aeb (卡巴)

    檔案直接用卡巴掃毒還掃不到,打開後發作開始丟檔案給MSN通訊錄人員

    重開機後卡巴才抓到      ...

    對. 系統還原要強烈建議先關掉, 用achen的方法才能徹底清掉, 我的這個例子是發送photo.zip
    回復

    使用道具 舉報

    428

    主題

    121

    好友

    4369

    積分

    我是鹹魚爸

  • TA的每日心情
    開心
    2012-7-19 12:21
  • 簽到天數: 7 天

    連續簽到: 1 天

    [LV.3]偶爾看看II

    文章
    10611
    13#
    發表於 2007-8-10 16:52 |只看該作者

    Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)

    還好有看到這篇
    剛才前二分鐘前,以前同事才傳給我
    就很機警的拒絕了~~
    呼~~好險
    現役iPhone4、MBP、GF1、iPad
    走過的痕跡IBM C3->Palm Vx->sony clie s300->sony n600->sony n700->sony sj30->palm zire 71->快譯通P168->Treo 650 ->Palm T|X、Nokia E61、SE P1i、iPhone 2G.3G.3Gs.iPad
    回復

    使用道具 舉報

    515

    主題

    9

    好友

    4504

    積分

  • TA的每日心情
    開心
    2011-4-13 15:03
  • 簽到天數: 1 天

    連續簽到: 1 天

    [LV.1]初來乍到

    文章
    3747
    14#
    發表於 2007-8-13 22:28 |只看該作者

    Re: 中了 MSN 傳播的 photo 病毒... 幹到無力 (內有解藥)

    過了一個周末, 電腦忽然在系統還原檔裡面掃到這個: http://vil.nai.com/vil/content/v_142395.htm, 正如 chiu 兄所說.

    仔細看了一下, DAT 是在 8/10 更新的, 還好這條蟲的威脅性是 low, 而且看起來似乎是清乾淨了.
    SugarSync 點此註冊, 謝謝
    [url=http://db.tt/nHX1VKU]Dropbox 點
    回復

    使用道具 舉報

    您需要登錄後才可以回帖 登錄 | 免費註冊

    與站長聯繫| PALMisLIFE 掌上生活      下載:更快、更棒、更好玩

    GMT+8, 2024-11-27 14:48 , Processed in 0.061082 second(s), 31 queries , Gzip On.

    Powered by Discuz!

    © 2001-2012 Comsenz Inc. style by eisdl

    回頂部