搞不清楚是上次沒清乾淨還是再度中鏢,反正我又在電腦上查到木馬了。
最初是看到貓提到的安全工具,可惜大多都不是針對Windows的,找找相關的資料就逛到rootkit去了,不過並不認為自己這麼衰。
昨天看到新聞,說Sony BMG用來保護音樂光碟的XCP技術會讓PC遭人侵,而且也真的出現針對這個漏洞的惡意程式。好奇之下追到發現者Mark Ressinovich的網站,看到原來他有個叫RootkitRevealer的工具,於是開始了昨晚的奮鬥。關於XCP的討論網路上很多,這裡說得還算詳細。
先把RootkitRevealer拿下來掃看看,哎呀呀!有一群名為Ysorbbse的檔案被掃出是"Hidden from Windows API",副檔名有SYS有DLL還有LOG,而且更有趣的是Google大神竟然不認識它。
既然有SYS就是driver,到裝置管理員把隱藏裝置在內的所有東西列出來,果然看到一個叫Ysorbbse的裝置。其他裝置中有兩個叫d347bus和d347prt的看起來也很可疑(事後發現原來是虛擬光碟Deamon掛的裝置),一併拿掉。
重開機後那些Ysorbbse的通通可以看到卻殺不掉;等把Ysorbbse.log打開來才真的嚇到,一個6MB的文字檔裡全都是側錄到的資料,敲了什麼鍵,做了什麼檔案操作,在哪個程式裡做的,通通都在裡頭。而且在我看的時候,新的資料還不斷被側錄進來。
這下子真的有點慌了,用安全模式開機後把registry、driver、開機程式亂砍一通,最後木馬應該是殺了,不過系統好像也掛了,不能copy/paste,不能drag&drop,這樣的系統能幹啥?只好花半天工夫重裝吧。
如果還是大學時候,或許會把這隻木馬反組譯出來再查查;現在這個年紀,唉,算了吧,正事要緊。
回頭想想大概還是上次沒清乾淨。因為上次清的時間是十月,那些木馬程式的檔案日期似乎都集中在九月,希望真的是這樣。
再綜合起來看,防毒防惡意軟體的工具完全沒有發揮作用,至少可以說免錢的就像廢物。System internals一系列的工具幫助頗大,另外ZoneAlarm之類的個人防火牆也多少有阻擋到一些。
等重裝好之後想燒片還原光碟,有人知道要怎麼做還原光碟嗎?
6 則留言:
天瓏有進 rootkit 的書,封面還蠻特別的。
http://www.tenlong.com.tw/BookSearch/Search.php?isbn=0321294319&sid=27733
還原光碟沒做過耶? 都只有用 Ghost 。
我的nb居然沒找到, 還滿神奇的
不過近來除了上網, 也沒幹什麼"正事"了
只是什麼是"正事"呢?....
比如看買來租來借來還有下載的漫畫;吃自己煮的飯,跟廖去吃飯,跟朋友去吃飯。
沒有啦,眼前的正事是先寫好論文拿到畢業證書,再想想去哪一家公司混還有怎麼混。
貓說的就是在www.rootkit.com首頁推的那本啊,想幹壞事的人大概都會去弄一本吧。
我自己是可以用ghost,但是哥哥姊姊兩邊的電腦好像都掛了,能自動還原的話不用自己跑一趟。唉,這是木馬週嗎?
剛剛看到的
http://www.resplendence.com/hookanalyzer
抓來查了一下,目前似乎沒有問題。
張貼留言