LV. 44
GP 6k

【閒聊】統整近期流行的W7型系統病毒

樓主 萊特亞 litewei
GP197 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。

已經多到我真的覺得有點煩了...該做個統整了......

近期 有兩類名為
update64.exe /msiexev.exe/shelreaket.exe 的特徵的病毒  
以及flash加密型的病毒

目前從巴哈版友這邊的討論得知有兩種攻擊特徵

1. 挖礦型 主動入侵型 (update64.exe /msiexev.exe/shelreaket.exe)

注意 持續變種中=>所有的防毒無法防護變種的病毒

防毒防護靠的是 病毒特徵碼來進行動作,一般的防毒無法防範變種型

要防範變種要靠記憶體與動作判定的敏感機制,而這個機制的測試準確率是不可能達到100%
且會因為使用者的腦殘動作而去讓他放行
不要相信那些號稱100% 防護的防毒 那些都是騙人的

100% 的防毒是在契合的條件下才能達到,不是每個人的電腦與狀況都能吻合
而且設定也要到位才行 但偏偏很多軟體就是會去調整防毒的設定


特徵
會自砍(開工作管理員時)
會自動復活(強迫關掉工作管理員)
會造成CPU占用率提高
攻擊模式採用 PPPOE 連線方的模式去攻擊
會建立新的代理人模式,利用代理人模式達到雙平台運作的方式,進而提高感染成效
只要有足夠的防火牆與漏洞更新就可以做初步阻擋
vocaloidcat(彩虹小馬 桐人我老公)
這個問題的原因源於NSA洩露的Windows工具進行攻擊,駭客已經由美國國家安全局採取了這一工具的優勢來攻擊Windows的服務器。
目前已經得知
用工作管理員結束update64.exe的方式無效
這個處理程序還是會restart
最重要的還是要更新系統補丁


2.加密型 被動入侵型 (flash加密型)

注意 持續變種中=>所有的防毒無法防護變種的病毒

防毒防護靠的是 病毒特徵碼來進行動作,一般的防毒無法防範變種型

要防範變種要靠記憶體與動作判定的敏感機制,而這個機制的測試準確率是不可能達到100%
且會因為使用者的腦殘動作而去讓他放行
不要相信那些號稱100% 防護的防毒 那些都是騙人的

100% 的防毒是在契合的條件下才能達到,不是每個人的電腦與狀況都能吻合
而且設定也要到位才行 但偏偏很多軟體就是會去調整防毒的設定


先前在伊莉所被放置的駭客型木馬flash 廣告事件 點下去的人會中招

特徵
使用者點下去才會中
使用者死命否認去謎網
使用者死命否認去謎網
使用者死命否認去謎網

幹 伊莉就是謎網 當我不知道阿  ex變態也是拉 這群傢伙.....

檔案會被加密
占用率高











以下是目前版上的相關統整連結


其中目前來說已經有人知道病毒的攻擊模式
巴哈實驗型版友已有提供很完整的資訊了

woogee(軺冠)

我有5台電腦被攻擊,每一台電腦被攻擊的狀況不同,我在這邊寫下來給大家看線索

它是在大約4/24入侵,4/26約晚間9點發動第一次攻擊(Update64.exe),4/28約早上11~中午12點發動第二次攻擊(msiexev.exe)

最新版卡巴斯基還沒有把它加入病毒碼,很明顯目前並不安全

我有3台電腦是在被攻擊後就自動關機(或重開機)了,另外2台則紮紮實實(?的接下攻擊了


第1台是因為CPU直接飆高,這台電腦有超頻,CPU連續高速運轉直接被BIOS強制關機了,所以Update64.exe中了之後關機,我手動刪除C:\Windows\dell後,在4/28第二波攻擊又關機了。

第2台原因不明,因為這台都用TeamViewer維護,所以還在等狀況確認。

第3台(關鍵)被攻擊的瞬間就被強制重開機,我因為上面有執行程式,我透過該程式的log找到病毒發動時間點,回去查詢Windows內建的log,找到跟病毒發動時間點相同的有2筆lsass的Crash紀錄

第4台電腦和第5台電腦我目前都已經關機,等六日要去處理。

已經確認的部分:

1.它只對PPPoE連線的電腦進行攻擊,所以如果換成硬撥可以避免掉。

2.系統都是Windows7(但資料查詢下似乎有人Server2008也中)

3.如果電腦被攻擊當下有關機或重新開機,病毒會感染不完全,所以我這邊有蒐集到一些感染到一半的殘檔,這些似乎是在"完全感染"後會被刪除的。

產生的檔案有:

C:\Windows\dell\run64.bat
C:\Windows\dell\svchost.exe
C:\Windows\dell\Update64.exe
C:\Windows\dell\run.bat

C:\Windows\Prefetch\wuauser.exe
C:\Windows\security\msiexev.exe

增加服務:
Windows32_Update

另外它好像還會執行一個rundll32 "C:\PROGRA~2\COMMON~1\MICROS~1\TextConv\NSLS.dll",Main

但這個檔案我不確定是不是病毒,請斟酌後再考慮是否刪除。

依照上述線索(尤其是電腦3),我懷疑是MS17-004這個更新修補的漏洞進行攻擊的

目前是拿第1台電腦當祭品,安裝手動更新後

https://wmos.info/archives/15595

正在等待下一波攻擊

















現在在病毒爆發的階段還有人在持續提供錯誤的處理方法.......

夠了好嗎.... 熱心不要亂誤導....



一般流行性病毒的處理方針只有三條

1.  下載各種的掃毒軟體 進行掃毒=>但如果病毒已經弄掛了掃毒系統的話則無法做這種功能

2. 拿給別人用掃毒=>再不啟動病毒的情況下做掃毒 這可以防止病毒執行

3. 整台重灌

只有這三種類型方式 沒有其他什麼567 或者網路卡重開 換螢幕  或者換無線AP我家網路就會好的這回事情


一般疑難雜症 看不出點的話 隨便亂找是沒差


流行性病毒 還胡扯就有點過分了



對一般w7 的使用者 如何避免病毒

做好更新即可~ 安裝一定程度的硬體防火牆就可以了

點對點的入侵一直都存在  
過往來說 在 奔騰4左右的時期  沒有任何防護的電腦 大約30分鐘就可以被入侵
現今也差不多....更何況有殭屍電腦後,攻擊的效率可以大幅度提升

版上很多人講者  大不了重灌嘛....


cpu100% 直接燒毀的也是有人
直接被加密的也是有人

大不了重灌?   那個大不了重灌的說詞
....得要你有準備重灌的足夠材料與支援等級你才能說這種大話......

....一般的使用者講這種大話的最後都會很後悔....

追加 新情報
shelreaket.exe
brulz(布魯札)
有發現是礦工型的 感謝解難

只要做好windows 針對型的漏洞更新
就能處理掉本次的主動入侵問題

嘛.. 繼續不更新嘛 那些大不了重灌的人啊..繼續嘴阿...

197
-
未登入的勇者,要加入討論嗎?
板務人員:

1319 筆精華,08/17 更新
一個月內新增 0
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】