莫名其妙抓到的病毒
雖然沒有發作
但是nod32找不到
avira掃描時也找不著
不過兩個都顯示無法開啟的檔案
看了一下名稱:Ir32_a.exe
直覺不是個正常的東西
用了ice sword、filemon來觀察
似乎也沒用啥特別的隱藏技巧
只是檔案鎖定刪不定有點煩
killbox無用
只好裝unlocker瞬間解決
查了一下網路,trend的資料比較詳細
名稱為TROJ_AGENT.AFE:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
SystemMgr = %System%\Ir32_a.exe"
或這個TROJ_AGENT.CQE:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SystemMgr = "{Malware path and file name of original malware file}"
修改AUTOEXEC.BAT:
echo off
copy C:\Windows\SYSTEM\Ir32_a.dll C:\Windows\SYSTEM\ws2_32.dll
del C:\Windows\SYSTEM\Ir32_a.dll
del {Malware path and file name of original malware file}
至於怎麼不請自來的
顯然有9成是從ie的漏洞偷渡
雖然沒有發作
但是nod32找不到
avira掃描時也找不著
不過兩個都顯示無法開啟的檔案
看了一下名稱:Ir32_a.exe
直覺不是個正常的東西
用了ice sword、filemon來觀察
似乎也沒用啥特別的隱藏技巧
只是檔案鎖定刪不定有點煩
killbox無用
只好裝unlocker瞬間解決
查了一下網路,trend的資料比較詳細
名稱為TROJ_AGENT.AFE:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
SystemMgr = %System%\Ir32_a.exe"
或這個TROJ_AGENT.CQE:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SystemMgr = "{Malware path and file name of original malware file}"
修改AUTOEXEC.BAT:
echo off
copy C:\Windows\SYSTEM\Ir32_a.dll C:\Windows\SYSTEM\ws2_32.dll
del C:\Windows\SYSTEM\Ir32_a.dll
del {Malware path and file name of original malware file}
至於怎麼不請自來的
顯然有9成是從ie的漏洞偷渡
Comments
Post a Comment