2007/03/24 20:58

鏟除來路不明的惡意軟體

前陣子 IE 一直有異狀,一種情況是使用搜尋引擎產生搜尋結果頁面後,點選連結會被轉到色情網站上,必須重覆點選同網址 2~3 次才能真正連結到正確網站;第二種情況是連結頁面不存在時,會出現色情網站,並彈出一個全部都是不正當網站的網址列表。這情況鐵定是中了什麼惡意軟體,不認真的查了一下,找不到惡源,因為我早就改用 firefox,就懶得理它。

正常情況,找不到網頁應該出現如下網頁訊息。

但中了這款惡意軟體後,就會變成如下幾幅圖般,這網頁是隨機改變的,上方白色網址也會不斷改變。

或像這樣 (兒童不宜,故意弄得很模糊)

還會有一個彈出視窗如下,全是一些亂七八糟的網站。

用 CPorts 軟體檢查連線的 port,常出現許多 Unknown 的連線。

今天竟然連 firefox 都被攻陷,已經不能再忍受了,決定認真鏟除這些壞東西。最後是清掉了,遺憾的是沒查出來這壞東西的名稱。現在網上的惡意軟體已經多到讓人不知如何是好,通常也很難用一款軟體就清乾淨,大致列一下我用的軟體:

  • AVG Anti-Spyware:網友一致推崇的反間諜及廣告軟體,商業軟體,使用 30 天後會限制某些功能。進行了完整掃描,整整掃了 8 小時,還好我是利用睡覺時間丟下去 scan,總共清出了 9 隻高危險性惡意軟體及數十個 TrackingCookie。
  • SuperAntiSpyware:也是掃間諜軟體之類,因為先用了前者,再掃出來的東西就少了一點,這些軟體 scan 出的東西,要自己再檢查,判斷一下,不一定都是惡意軟體。
  • HijackThis:用完了上述軟體,竟然我電腦裡這討人厭的東西還存在,只好用 HijackThis,自己慢慢檢查,清掉一下有問題的東西,重開機,測試了一下。咦,IE 回復正常了耶!YA!

不過,高興的太早,沒多久,這討厭的色情網站竟然又出現了。把上述三種軟體再隨意執行,手動修復一番,好幾個小時過去了,沒再被攻陷,似乎已正常了。網路上找不到很多類似問題與解決,真想知道,這東西到底是啥名字!

文章分類 - 資訊安全 | 迴響 (3) | 1254 views

3 個留言

  1. 發表於:2007年03月24日 23:14 1. 作者:hadass

    可以找那種可list 已連線的session,又能指出是哪些程式在做這些連線的工具(不知道Fport行不行)
    可能可以找得到是哪個檔案在搞鬼

    惡意軟體多很低調,又有一大堆變種
    所以防毒大廠多不想碰這塊
    因為它的sample不像病毒那麼容易收集
    掃除程式自然也就沒有辦法像病毒那麼多了

    最怕的是那種kernel level的惡意程式
    它會竄改一些常用的系統程式的output,如ls, netstat, 給一個假的系統process、程式列表
    連root都無法看到系統真實的情形
    真可謂瞞天過海啊

    firefox有一種管理cross site script的plugin叫做NoScript
    可以限制流覽網站時,不會在不知情的情形下,又連到一肉粽有的沒的亂站…
    不知道你有沒有裝?

    我自己都沒在裝防毒軟體,靠這個NoScript照樣行走p2p大站
    也少中毒(不過上個月電腦一拿回家接上網就被我爸的電腦感染中了orz)

    我覺得每台電腦都有防駭的義務,因為只要被入侵就絕對會成為跳板
    即使對系統沒有顯著的傷害,但一定有天會危害到外界或LAN的網路
    可惜這樣的理想很難實現吧
    就跟實體社會一樣,只能說,自己能做的先做到了,駭客自然會去找外面那麼多不怕死的冤大頭

    日前接觸過一個號稱anti-malware 廠商
    他們的做法很另類
    它並不去追究或開發什麼病毒碼、也不去分析惡意行為
    他們對所有的ip與domain name做出一個信用資料庫
    LAN裡面要連往新註冊的、個人名義申請的dns、沒有dns反查的ip、網路上已知的黑名單這些
    就統統視為phone-home行為而攔掉(中了後門的病體要連回hacker在後門程式寫好的主機報到)

    雖然會有大量的誤攔,但至少放在大企業裡面顯得省事多了….

  2. 發表於:2007年03月29日 20:10 2. 作者:落腳齋主人

    沒錯,通常木馬之類的程式都很低調,我中的這鐵定是Adware。NoScript 倒是沒裝,聽妳一說,裝來試了一下,有點小問題,已將自己網址加入,但寫網誌還是有點小問題,再研究研究。CPorts 就是一個可以看目前電腦所有連線的小軟體,蠻好用的,但有些還是看不出來。

  3. 發表於:2007年03月31日 20:31 3. 作者:hadass

    裝了NoScrpit之後,會顯示每次browse一個網頁所含的on site and cross script
    如果有網頁功能不能work,試著將一個一個網域開放,至於用不到的網域,就不需要囉
    我靠這個行遍中國各大網站不用驚…
    太誇張的site就直接不連
    還有一個好用的firefox plugin是adblock
    請享用…

引用 | 訂閱留言(RSS Feed)

發表您的留言