又見木馬

搞不清楚是上次沒清乾淨還是再度中鏢，反正我又在電腦上查到木馬了。

最初是看到貓提到的安全工具，可惜大多都不是針對Windows的，找找相關的資料就逛到rootkit去了，不過並不認為自己這麼衰。

昨天看到新聞，說Sony BMG用來保護音樂光碟的XCP技術會讓PC遭人侵，而且也真的出現針對這個漏洞的惡意程式。好奇之下追到發現者Mark Ressinovich的網站，看到原來他有個叫RootkitRevealer的工具，於是開始了昨晚的奮鬥。關於XCP的討論網路上很多，這裡說得還算詳細。

先把RootkitRevealer拿下來掃看看，哎呀呀！有一群名為Ysorbbse的檔案被掃出是"Hidden from Windows API"，副檔名有SYS有DLL還有LOG，而且更有趣的是Google大神竟然不認識它。

既然有SYS就是driver，到裝置管理員把隱藏裝置在內的所有東西列出來，果然看到一個叫Ysorbbse的裝置。其他裝置中有兩個叫d347bus和d347prt的看起來也很可疑(事後發現原來是虛擬光碟Deamon掛的裝置)，一併拿掉。

重開機後那些Ysorbbse的通通可以看到卻殺不掉；等把Ysorbbse.log打開來才真的嚇到，一個6MB的文字檔裡全都是側錄到的資料，敲了什麼鍵，做了什麼檔案操作，在哪個程式裡做的，通通都在裡頭。而且在我看的時候，新的資料還不斷被側錄進來。

這下子真的有點慌了，用安全模式開機後把registry、driver、開機程式亂砍一通，最後木馬應該是殺了，不過系統好像也掛了，不能copy/paste，不能drag&drop，這樣的系統能幹啥？只好花半天工夫重裝吧。

如果還是大學時候，或許會把這隻木馬反組譯出來再查查；現在這個年紀，唉，算了吧，正事要緊。

回頭想想大概還是上次沒清乾淨。因為上次清的時間是十月，那些木馬程式的檔案日期似乎都集中在九月，希望真的是這樣。

再綜合起來看，防毒防惡意軟體的工具完全沒有發揮作用，至少可以說免錢的就像廢物。System internals一系列的工具幫助頗大，另外ZoneAlarm之類的個人防火牆也多少有阻擋到一些。

等重裝好之後想燒片還原光碟，有人知道要怎麼做還原光碟嗎？