2020/06/03

防毒軟體並非萬能,隨身碟怪怪的要趕快找人檢查

最近有朋友的隨身碟中了病毒而不自覺,只覺得電腦好像變慢,有資料夾打不開有點怪怪的請我看看,檢查發現裡面的目錄都變成捷徑,捷徑路徑也都非常奇怪(C:\Windows\system32\cmd.exe /c start Rundll32.js&start explorer source&exit ),原先資料夾屬性都變成隱藏,裡面多一個加密過的 Rundll32.js 腳本,桌面多了一隻 cmd 程式,一看就知道不對勁...
打開 windows 工具管理員發現一堆 wscript.exe 程式在執行,應該是朋友剛剛誤點了不少次捷徑,先全部強制結束掉,插入我的工具隨身碟,然後就尻妳X的東叮咚阿,眼睜睜看著我的碟瞬間就被感染了,資料夾也是被隱藏變成一堆捷徑...




不管了,先打開 ccleaner 看到啟動的地方,抓到了,程式 OBAJQA1X0B 這是什麼鬼?先停用它,重開機後開始利用一些特殊工具把 WindowsServices.exe、helper.vbs、Installer.vbs、movemenoreg.vbs 惡意程式一一幹掉,但發現被隱藏的資料夾屬性被鎖定了,改不回來,只好執行 attrib -r -s -h F:\*.*  /s  /d 指令。
若有重要的資料可能移到安全的地方存放,這顆隨身碟最好完整格式化後再使用。

不過這隻病毒到底想幹麻?可參考 poynt2005/關於一些rundll32.js的個人思路.js

1.受感染電腦會把此檔案塞入裝置於此電腦的 U盤的根目錄
2.受感染電腦會把此 U盤資料夾、檔案隱藏,並創建與其圖示長的一模一樣的捷徑,並且把這個捷徑的目標指向一行命令列
3.承上,也就是說打開這個捷徑會自動執行一串命令列,該命令列會啟動這個腳本
4.受害者在不知情下執行了某個捷徑
5.此腳本啟動後會在登錄表 HKEY_CURRENT_USER 註冊一個 vjw0rm 的機碼
6.建立完後,此腳本會複製一份自己到使用者的暫存資料夾(通常為 C:\Users\使用者名稱\AppData\Local\Temp)
7.複製完後,腳本會在開機起動項的註冊表建立一個 OBAJQA1X0B 的機碼並且讓他執行此腳本,也就是說開機時會啟動位在暫存資料夾的該腳本
8.此腳本會建立一個名為 Skype 的任務排程器,每 30分鐘執行一次此腳本
9.複製此腳本到使用者存放開機自啟項的資料夾
10.再來,腳本會讀取受害者電腦的作業系統名稱、防毒軟體名稱、磁區資料
11把上述的資料送到這個伺服器: mscompany.dynu.com,這個伺服器會把適用於本電腦的勒索病毒二進位資料送回來
12腳本會把病毒的二進位資料寫進檔案裡,並且每7秒執行一次(任務排成器每30分執行一次此腳本,此腳本每7秒執行病毒檔案)

到這裡,對駭客的思維有一點瞭解嗎?

魔盾安全分析报告:

最後,有神人提供一鍵解毒 跟 研究 可存在隨身碟執行試看看,當然對於有變種的木馬就不行了。

@echo off
echo “—————————————–"
echo “關閉正在運行中的 WSH 程式"
echo “—————————————–"
taskkill /f /im wscript.exe /t
echo.
echo.
echo “————————————————"
echo “進入appdata資料夾,將病毒移除"
echo “————————————————"
cd %appdata%\
attrib WindowsServices -h -s -r
cd WindowsServices
attrib *.vbs -h -s -r
attrib *.vbe -h -s -r
attrib *.exe -h -s -r
del *.vbs
del *.vbe
del *.exe
echo.
echo.
echo “————————————————————————————–"
echo “建立 病毒 / 腳本 同名稱資料夾"
echo “資料夾請保留勿刪,以免插入有毒隨身碟再次寫入檔案感染。
echo “————————————————————————————–"
md helper.vbs
md installer.vbs
md movemenoreg.vbs
md WindowsServices.exe
md helper.vbe
md installer.vbe
md movemenoreg.vbe
md AasdR.exe
echo.
echo.
echo “————————"
echo “刪除 Rundll32.js"
echo “————————"
cd %temp%
attrib rundll32.js -h -s -r
del rundll32.js
md rundll32.js
echo.
echo.
echo “———————————————————-"
echo “刪除開始功能表[啟動]的病毒腳本與捷徑"
echo “———————————————————"
cd “%appdata%\Microsoft\windows\Start Menu\Programs\Startup"
del *.vbs
del *.vbe
del *.js
del helper.lnk
del rundll32.lnk
echo.
echo.
echo “—————————————————————"
echo “刪除開機執行 Rundll32.js / AasdR 的登錄碼 "
echo “—————————————————————-"
reg delete “HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v OBAJQA1X0B /f
reg delete “HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v AasdR /f
echo.
echo “——————————"
echo “刪除 AasdR 木馬服務"
echo “——————————"
reg delete “HKLM\SYSTEM\ControlSet001\services\AasdR" /f
reg delete “HKLM\SYSTEM\CurrentControlSet\services\AasdR" /f
echo.
echo “——————————–"
echo “檢查是否已經清除完畢"
echo “——————————–"
echo.
echo 顯示所有的檔案及資料夾…
echo.
echo 解除被病毒鎖定而無法修改顯示隱藏檔
reg add “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t REG_DWORD /d 1 /f
echo 顯示保護的系統檔案
reg add “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /t REG_DWORD /d 1 /f
echo 顯示隱藏的項目
reg add “HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t REG_DWORD /d 1 /f
echo.
echo 重新載入檔案總管,更新登錄…
taskkill /f /im explorer.exe
start explorer.exe
echo.
echo.
echo 複檢:請檢查被感染病毒檔案是否還存在及隱藏資料夾是否可以正常顯示…
start %appdata%
start %temp%
%systemroot%\explorer.exe “%appdata%\Microsoft\windows\Start Menu\Programs\Startup"
echo.
echo.
timeout 30

沒有留言: