close
事件主角:unwise_.exe
作業系統:XP SP1
CPU:Intel PIII 667
記憶體:512MB(內顯剩384)
原裝防毒:小紅傘8.0
中毒時間:98/3/30
檔案路徑:C:\WINNT\Fonts
檔案特徵:
1.在隱藏檔可見情況下依然不可見,檔案內容中的隱藏屬性無法修改
2.工作管理員中看不到,但使用江民進程管理器可見,但強制停止進程會自動重新啟動
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1ppitQPOFNtl__iYni6ycotbyNJxPi2Js3d7BJgo8G1y-Izi62GqW-VAbmrclFTXnIEDdo2AAO4C8tQamxbe1ZWIY41MxkR5-j/21.JPG)
中毒特徵:
1.防毒軟體遭停用,亦無法更新
2.網路接通後一段時間開始出現延遲現象,最終導致區網內全部電腦均無法上網
3.打開工作管理員可以看見增加很多不明程式正在運作,CPU耗用資源100%,最後無法負荷導致藍底白字
4.重新開機不接網路可緩慢操作
5.嘗試進入安全模式在選單跑完後直接藍底白字重新開機
卸載小紅傘安裝江民2009可註冊但無法更新,病毒碼日期97/12/26
江民樣本庫可提取並清除上述unwise_.exe,清除後(須重新開機)即可順利更新病毒碼,病毒碼日期98/3/31
江民更新完畢進行全系統掃描共掃到214支木馬,重新開機並再次掃描後系統恢復正常,網路也恢復了
唯一的遺憾是沒留下unwise_.exe的樣本,因為這台筆電是ACER很早期的商品了,無內建光碟機,2個USB插槽也都已經損壞,讓我連裝一下WinRAR的機會也沒有....
猜測中毒原因
1.免費版小紅傘欠缺的網頁監控
2.使用者又沒做windowsupdate導致被輕易入侵
以下是一些江民內建工具圖片供參考
可以看到很多偽裝的系統檔存在或執行中,並被寫入假服務及驅動,不過有很多以前沒遇過的,還沒時間去研究...
沒樣本只能乾瞪眼...有些圖片不小心被我刪掉了,請多見諒~
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1p4j3yF6qLtHepOpTKnH0pCTGb56AwquYb0G4il-0SXPGAOn_hZ8878R8CAfQJqAV8JsjU3BUxh5bU-rySq-tjug/22.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1pb-HDnD0uSCBPqKPkIXvMXPqPEA73rs6KHehEVHAkIYP8sbQbZYYXlRECixWyAHEXuf-jVUvn8I-FzYcnLCt_xQ/19.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1pejhNuSMnpZYD2dcyOCXo3gwc9T_GVAG6Pw_iYBPyybEk5Yhs7spgeGXnPcjZQN-vdFjBPCxXHr8D9Rlokk3ekA/20.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1p9uWDNk9DgJsl7f0YHDBLBudnM_-cxrE_DE7MuKNFH4sU2HbJuMMxrWaVR34G2VPEvQO16cDk1rtq39EaJMD95A/01.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1pEMxNS-kc6XrdSC5lfk5eozeP6PVazXlr3_-TjnC7k1Vkv21ZV_CCQLgnmNgVnSLN7QolSrymVhhXsQIqWXTVBg/02.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1pFC17mtE-gvQFTEiOZM5Lhuxzvm1b9fl4HKSKxnhDtkiKMwtaXD_sOQ_ltYV56-vYxoXoVBrSCAfK2mIaqtNIxg/04.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1p9AOYYR7HuGB3uf9Yl7lJw7zFeiMG9Plo9XWdMYW4bQ0z6VbxTCxRxs07TRh6Rsotq0eO7JsM1IIcPdbqx1-Urg/05.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1pB-9yZuqmb4mrIR53uK3lmQtLBhJK7xL5WhhYPQFsumvVFk4WGlx6QuU0Tj7WPRUYano81q14iR43Th7HWaXjMw/06.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1pNd9yy6ZFjp5Z1_s-R7UABqi4tHDSJWg4GNWbhrE2aKu_PrRfLVwAt_JtPsyv5JqsdmZ23jHGqwhqOsnc2WWhxA/07.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1pfFXwfViNamvmGx7iW_RXJmgLH2j4t3xpU_RxhwlfPA3xUdXrwZM_l-Hdp7STbijzV4FNsE1Sc5gzCOD0JzdZIA/08.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1p6_cAAezf1bu4Gj5FOc9wiSOKD_xG7HqDHb_69sARGyLHLQpfIUfob3tAh5I0kiv45cliSgG_3ZVjvEaMrLYvRg/09.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1p-dZdwtCFB7-9SDkpb0VeA8fp0LO1VBvyO8zuBO0-7ZwDps3zKFWfvsw7wMc3hHk1vl_kSy3GmYzTaZOQNMvrbQ/11.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1p9MrXKLxqJL7juPTCpTwnD0o-tiXl9FHVy7RIkAIoVwS17xUQLXh6gYFge4Uf82JJYRV3fb0qhbbyGAt12CKXHg/12.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1pWyv4TGDMZVirmzms1hC_EPexKlAwaNesUdtzsg1MWTVsu2xMgMYCEFY-vtu9hv3HL-rt63dhutuzxTFcCsNrvg/13.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1p8f8r4GdCzXYFtpc5utSDiabx2eXqhX0uXlsNz7V22OyzGjFPPXaeo3ljjFUtrryxgqwBCfpu2liejsTVztocRQ/14.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1pILcugNpR-OFFktLQXRPuwAXY9qVnOJJlAa_jyK5xmt22zyUEdEvVmR542OVfYvdtN7QS6hPcqac15E4xHEjhxQ/15.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1pFGb8izfqMg3BdnTkRFF7a6zf6W72przid8_6dYbOJgQgIJMXH7HtDkAJf89GL5yfXCCmmjVDBfeH-a54x8FqwQ/16.JPG)
![](https://imageproxy.pixnet.cc/imgproxy?url=https://e9whva.bay.livefilestore.com/y1pbZ5KqoPbbrx0TCzUu984SHogHLcXD8moxZW4U6BZRj9_8xIRoWm9ZAcXZJ-g8uBy4CpPtryIAl1Fh5sHwOhZUw/18.JPG)
作業系統:XP SP1
CPU:Intel PIII 667
記憶體:512MB(內顯剩384)
原裝防毒:小紅傘8.0
中毒時間:98/3/30
檔案路徑:C:\WINNT\Fonts
檔案特徵:
1.在隱藏檔可見情況下依然不可見,檔案內容中的隱藏屬性無法修改
2.工作管理員中看不到,但使用江民進程管理器可見,但強制停止進程會自動重新啟動
中毒特徵:
1.防毒軟體遭停用,亦無法更新
2.網路接通後一段時間開始出現延遲現象,最終導致區網內全部電腦均無法上網
3.打開工作管理員可以看見增加很多不明程式正在運作,CPU耗用資源100%,最後無法負荷導致藍底白字
4.重新開機不接網路可緩慢操作
5.嘗試進入安全模式在選單跑完後直接藍底白字重新開機
卸載小紅傘安裝江民2009可註冊但無法更新,病毒碼日期97/12/26
江民樣本庫可提取並清除上述unwise_.exe,清除後(須重新開機)即可順利更新病毒碼,病毒碼日期98/3/31
江民更新完畢進行全系統掃描共掃到214支木馬,重新開機並再次掃描後系統恢復正常,網路也恢復了
唯一的遺憾是沒留下unwise_.exe的樣本,因為這台筆電是ACER很早期的商品了,無內建光碟機,2個USB插槽也都已經損壞,讓我連裝一下WinRAR的機會也沒有....
猜測中毒原因
1.免費版小紅傘欠缺的網頁監控
2.使用者又沒做windowsupdate導致被輕易入侵
以下是一些江民內建工具圖片供參考
可以看到很多偽裝的系統檔存在或執行中,並被寫入假服務及驅動,不過有很多以前沒遇過的,還沒時間去研究...
沒樣本只能乾瞪眼...有些圖片不小心被我刪掉了,請多見諒~
全站熱搜