星期三, 10月 05, 2005

灰鴿子

我的電腦中標了,一隻叫灰鴿子(Gray pigeon)的後門程式。這可能是新的變種,因為google到的描述和我的症狀不太相符。會認為它是灰鴿子,是因為查開機程式時看到GRAY_PIGEON開頭的神秘服務。

自認對所用的電腦很小心,過去也很少中毒,這次或許是因為安逸久警覺性變差了。大概幾天前開始突然跑出莫明奇妙的錯誤訊息,說IE連Winsock有問題;好笑的是我平常都用Firefox,當時根本沒開IE。Ctrl-Alt-Del叫出工作清單,卻完全看不出問題。我裝了免費版的個人防火牆ZoneAlarm和防毒程式avast!,防毒程式啥都沒說,防火牆倒是一直說IE在使用網路。二話不說把IE的網路權限拿掉,不淮它用網路,反正只有讀舊公司郵件時才會用。

前天終於受不了了,決定動手去查清楚。拿出autoruns把開機程式和服務詳列出來,馬上看到兩個不明來源的服務,全都是GRAY_PIGEON開頭。刪除之後去google查查,發現它還可能掛驅動程式,一路邊追邊殺,搞了兩個小時才結束。到目前為止觀察了兩天,似乎是清乾淨了。

想列一下這件事的教訓:

  • 我的電腦中了,太太的卻沒事。顯然是我太不小心了。

  • 防毒軟體似乎擋不住後門程式,還是得靠個人防火牆,不過還是得使用者自己注意。

  • Firefox還算是小眾,似乎不是攻擊的主要目標,用它可以避開不少麻煩。可惜不支援ActiveX,偶而還是要用到IE。

  • 我的帳號密碼都是自動輸入,似乎可以避免被鍵盤側錄。不過這樣由程式集中管控,風險其實也不小

  • Autoruns可以詳列開機執行的程式和服務,是我看過內容最詳細的。非常適合作為追查這類問題的起點。

3 則留言:

lcat 提到...

有在用 Anti-Spyware 軟體嗎?現在每隔一陣子都會用 Ad-Aware 掃一下 :(

mph 提到...

抓了兩隻掃spyware的(Ad-Aware和xoft)來掃過.掃了一堆亂七八糟的cookie和registry entries出來,可是真正要的沒掃到.覺得有夠不可靠就通通反安裝掉了.

lcat 提到...

看來這個免前的軟體實在不太夠力 :(