close
事件主角:unwise_.exe
作業系統:XP SP1
CPU:Intel PIII 667
記憶體:512MB(內顯剩384)
原裝防毒:小紅傘8.0
中毒時間:98/3/30
檔案路徑:C:\WINNT\Fonts
檔案特徵:
1.在隱藏檔可見情況下依然不可見,檔案內容中的隱藏屬性無法修改
2.工作管理員中看不到,但使用江民進程管理器可見,但強制停止進程會自動重新啟動
中毒特徵:
1.防毒軟體遭停用,亦無法更新
2.網路接通後一段時間開始出現延遲現象,最終導致區網內全部電腦均無法上網
3.打開工作管理員可以看見增加很多不明程式正在運作,CPU耗用資源100%,最後無法負荷導致藍底白字
4.重新開機不接網路可緩慢操作
5.嘗試進入安全模式在選單跑完後直接藍底白字重新開機
卸載小紅傘安裝江民2009可註冊但無法更新,病毒碼日期97/12/26
江民樣本庫可提取並清除上述unwise_.exe,清除後(須重新開機)即可順利更新病毒碼,病毒碼日期98/3/31
江民更新完畢進行全系統掃描共掃到214支木馬,重新開機並再次掃描後系統恢復正常,網路也恢復了
唯一的遺憾是沒留下unwise_.exe的樣本,因為這台筆電是ACER很早期的商品了,無內建光碟機,2個USB插槽也都已經損壞,讓我連裝一下WinRAR的機會也沒有....
猜測中毒原因
1.免費版小紅傘欠缺的網頁監控
2.使用者又沒做windowsupdate導致被輕易入侵
以下是一些江民內建工具圖片供參考
可以看到很多偽裝的系統檔存在或執行中,並被寫入假服務及驅動,不過有很多以前沒遇過的,還沒時間去研究...
沒樣本只能乾瞪眼...有些圖片不小心被我刪掉了,請多見諒~
作業系統:XP SP1
CPU:Intel PIII 667
記憶體:512MB(內顯剩384)
原裝防毒:小紅傘8.0
中毒時間:98/3/30
檔案路徑:C:\WINNT\Fonts
檔案特徵:
1.在隱藏檔可見情況下依然不可見,檔案內容中的隱藏屬性無法修改
2.工作管理員中看不到,但使用江民進程管理器可見,但強制停止進程會自動重新啟動
中毒特徵:
1.防毒軟體遭停用,亦無法更新
2.網路接通後一段時間開始出現延遲現象,最終導致區網內全部電腦均無法上網
3.打開工作管理員可以看見增加很多不明程式正在運作,CPU耗用資源100%,最後無法負荷導致藍底白字
4.重新開機不接網路可緩慢操作
5.嘗試進入安全模式在選單跑完後直接藍底白字重新開機
卸載小紅傘安裝江民2009可註冊但無法更新,病毒碼日期97/12/26
江民樣本庫可提取並清除上述unwise_.exe,清除後(須重新開機)即可順利更新病毒碼,病毒碼日期98/3/31
江民更新完畢進行全系統掃描共掃到214支木馬,重新開機並再次掃描後系統恢復正常,網路也恢復了
唯一的遺憾是沒留下unwise_.exe的樣本,因為這台筆電是ACER很早期的商品了,無內建光碟機,2個USB插槽也都已經損壞,讓我連裝一下WinRAR的機會也沒有....
猜測中毒原因
1.免費版小紅傘欠缺的網頁監控
2.使用者又沒做windowsupdate導致被輕易入侵
以下是一些江民內建工具圖片供參考
可以看到很多偽裝的系統檔存在或執行中,並被寫入假服務及驅動,不過有很多以前沒遇過的,還沒時間去研究...
沒樣本只能乾瞪眼...有些圖片不小心被我刪掉了,請多見諒~
全站熱搜
留言列表
