[無名備份]Desktop.ini發作記事

8/23-8/29
奇摩知識+開始有人出現問題了
後來問題發生頻率越來越頻繁,人數開始增加
起先一開始指向BDG這個著名的網路硬碟
可是隨著資料慢慢整理~共通點開始出來了
目前感染源初步指向召喚獸&鐵傲(?)網站

共通點
1.是否有連上BDG--NO
2.是否有連上鐵之狂傲--YES
3.系統為XP SP1專業版--YES
4.數個資料夾都出現desktop.ini檔案--YES
5.IE瀏覽到一半會無法顯示網頁--YES

症狀:
1.程式集出現desktop.ini 包誇附屬應用程式 系統工具裡都有 接著就是我的最愛 也有
2.開機會有記事本開啟 desktop.ini 包含
[.ShellClassInfo]
LocalizedResourceName=@SystemRootsystem32shell32.dll,-21787
3.玩遊戲會莫名跳出
4.按右鍵 畫面會跳成只剩下桌布 過幾秒工具列會出現 但是常駐程式被關閉(防毒軟體之類的)
有右鍵問題的通常控制台打不開 刪除文件也會有問題
5.有些人防毒軟體會打不開
6.我的文件夾 我的圖片 我的音樂 我的影片 等資料夾 名稱變英文 圖示也變成一般資料夾
7.目前為止幾乎都是 XP SP1 以上版本 (還幾乎都是專業版)
8.各式防毒程式全都沒用
9.以下的路徑裡所含的檔案
C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動
C:\Documents and Settings\All Users\「開始」功能表\程式集
C:\Documents and Settings\All Users\「開始」功能表
C:\Documents and Settings\Users\「開始」功能表\程式集\啟動
C:\Documents and Settings\Users\「開始」功能表\程式集
C:\Documents and Settings\Users\「開始」功能表
含有desktop.ini檔

由於該木馬(?)發作事件是藉由WINDOWS下的檢視模式去讀取EXE執行檔時進而竄改EXE檔發作
有些EXE有警制機制,遭到竄改的會自動關閉
目前根據手邊的資料得知有兩種
1.著名的東方遊戲:東方花映塚
2.P2P軟件:winny

當然不只這兩種,只是很多人在開這兩種軟體時中獎
應該說任何EXE檔都會中獎
在紛紛鬧鬧了那麼久之後
鐵X網釋出方法了
很明顯的這次是利用IE+漏洞(很多人用IE後就出現問題,忍不住要說FIREFOX真棒)
例外特別注意的的是
這次很多人說重灌後依然無法清除的原因在這裡
"他並非只感染系統槽"
言下之意如果你灌WIN系統(在C槽),就算你FORMAT多乾淨,木馬是藏在非系統槽下
不管你灌多少次,只要執行EXE檔就中獎
這就是問題在此,更新也不見得有用
重灌的壞習慣記得注意阿....

9/1號根據知識+的訊息表示
目前雨傘牌防毒軟體已經可以偵測到該木馬了
其他防毒軟體似乎反映比較慢的樣子
這段期間不想中毒的人請使用FF上網
重灌請注意,整顆硬碟FORMAT掉才會清除完畢

木馬名稱:09751.com
注意,這是名稱,不是什麼網址...
原先藏匿位址:C:\documents and Settings\使用者名稱\Local Settings\Temp
一個叫ad001.gif的檔，檔案大小61952

<9/6號更新>
病毒名稱尚有:
VCab.DLL
111.dat
222.dat
333.dat
3.exe

透過JAVAScript傳播
目前得知有一同學已慘遭毒手了

來自K島的解決方法
把所有砍過的病毒檔
開一些資料夾 取成他們的名子 然後設唯讀 主要是讓病毒無法在建立上去
遭到感染的EXE檔可以刪除~然後跟同學拿相同的EXE檔來補即可
------------------------------------------------------------------------------
後記:
針對防毒軟體無法偵測
可能的問題也許在這
1.竄改EXE檔,無法執行防毒軟體
2.防毒不是無敵的,這點很多人忽略了

從這次事件得知,防毒軟體有多麼的不堪一擊了吧
連卡八自豪的未知偵測技術都被打敗

不過要澄清,這次發作的是"木馬" 不是病毒
不要把防毒軟體想成什麼都可以防,有一定的效果可以防,但不是萬能的
這次的事件明顯的打破大家的認知了

例外SP1&SP2中獎的機率,老實說很難判斷
就如同剛剛上面說的用IE很容易中獎,但就是有人沒有阿
不過大概可以確定途徑跟來源了

這邊要推使用火狐上網嗎?
或者應該說你試用IE核心的請小心,很容易中獎

-----------------------------------------------------
卡巴新版採用一種新的防止方式
有點像是利用SYSTEM CALL的方式
在檔案要呼叫OS去讓他執行時~卡巴介入攔截訊息
得到許可才放行...

這招倒是不錯