幾天前剛換裝了一個防火牆 PC Tools Firewall Plus
還在適應中
今天下午就與 W32/Virut.AX 這隻病毒遇上了
【感染過程】
PC Tools Firewall Plus 先是跳出一個黃色的視窗 --- 跟平常的綠色視窗不同
告知 ftpupd 這個程式要修改 xxx 的記憶體
由於一時間找不到 ftpupd 的相關情報
又警覺黃色視窗應該是較嚴重的事件
因此暫時按下「封鎖」的選項阻止
結果它開始不斷要求修改一大堆執行檔的記憶體
(我記得的有防火牆、防毒軟體、lsass、alg、Generic Host Process for Win 32 Services等,其它的沒印象了)
這時就感覺應該是被攻擊了
全部封鎖完後
緊接著另一個檔案 iuksjyju.exe 跟著發動
(看檔名,很類似傳統的隨機病毒檔名類型,用 Google 也找不到 @@ )
這隻會要求連線
此時 PC Tools Firewall Plus 與 Avira AntiVir Person 都跳出了警示
就將它關進了隔離區
【處理過程】
重開機時發現電腦會自動重開
不斷的跑開機程序 (進入桌面3~5秒即又重開)
應該是還有沒清到的病毒檔
因此轉換到安全模式下 (轉換後便停止自動開機)
關掉系統還原,用 Avira AntiVir Person 作全系統掃瞄
得知所感染的病毒名為 W32/Virut.AX
總共掃到與隔離了4個感染檔案
●C:\WINDOWS\system32\ftpupd.exe
●C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6M6JP9A0\x[1].exe
●C:\WINDOWS\system32\iuksjyju.exe
●C:\WINDOWS\STSTEM32\IUKSJYJU.EXE
【關於病毒】
後面3個直覺是砍掉也不會怎樣 (1個是temporary的暫存資料夾,2個是隨機檔名)
第1個研究了半天,找到了下面的資料
ProcessLib.net 進程信息庫-安全知識 (簡體)
是一個透過lsass漏洞傳播的蠕蟲 ..... 那應該也是可砍的吧 @@??
( 暫時還是關著 )
用 W32/Virut.AX 當關鍵字
沒有找到什麼資料
用 W32/Virut下去搜索則是找到
W32.Virut.B 會感染執行檔與開啟後門
或許這一族都差不多 (?)
建議的處理是「不要執行」與「刪除該檔」
此外好像沒有其它的資料了@@
【2008-01-05】新增後續
這兩個禮拜
這隻病毒都斷斷續續的在這電腦上發作
(22日、25日、3日與4日)
而以昨天的情況最嚴重 --- 一個晚上發作了3次
並且每次侵入的檔案都不一樣
下面是這幾次下來的心得 :
● 將這隻病毒的檔案上傳到 Virus Total,發現各防毒軟體對它的稱呼略有不同 --- Virut.A 或 Virut.B,不過作用都是 (1) 感染電腦內的可執行檔 (2) 開啟後門。
● 這隻病毒會在C:\WINDOWS\system32下形成2個.exe檔 : 一個是 ftpupd.exe,另一個是主檔名有8位的exe檔 (檔名常有變化,目前我累計找到的有 iuksjyju.exe、tidpidmi.exe、efkgbjxi.exe、uxeepwce.exe 等)。
● 另外固定會在 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6M6JP9A0 下出現1個 x[1].exe (有時會多出1個 x[2].exe) 的病毒檔案。
● 上面這些system32與6M6JP9A0資料夾下的exe檔,如果沒清除 / 隔離又重新開機,電腦會自動進入Windows磁碟修復的藍幕,然後進入桌面3秒又自動開機,不斷輪迴上面的程序。這時必須進入安全模式加以清除才能正常開機。
● 比較少見的一個病毒檔案 (這兩週只有在昨日碰到) 是在 C:\ 下產生的.tmp檔 (我遇到的名稱是叫 ARKFC.tmp),作用是什麼不太清楚。我在正常模式時操作了隔離指令,卻發現它沒有從 C;\ 下消失;,切進安全模式才隔離好。
● 按Google搜索到某篇大陸的文章提到 : 如果不幸讓它感染、破壞到其它的執行檔,完整的處理就需要format C:\ → 重新安裝作業軟體了。
以上,謹供有同樣遭遇的人參考。
留言列表