簡單說 這是目前近期在對岸很流行的病毒，這邊也有一點 這兩個星期看板上po文有四個人以上是中這同樣的東西 所以看了一下還是決定打出來好了，雖然我不太想管這些東西 因為真的是造橋鋪路無屍駭.... NSDownloader: 感染途徑：網頁下載，隨身碟，ms-08067漏洞，其他。 特徵： 具木馬下載器 ( 下載木馬為HB蝗蟲軍團和其他老舊盜帳號病毒 ) 機器狗特性 ( 穿透還原系統讓主系統也被感染 ) IFEO劫持 ( 讓防毒軟體GUI介面無法開啟 ) 病毒行為： 病毒執行後 釋放驅動檔Nskhelper2.sys 還原SSDT並關閉或破壞部分防毒,讓防毒監控失效 (如 KIS ) 以上為Killav的行為 之後釋放驅動檔nspass?.sys (?為0-9) 將以下系統文件替換為病毒文件 %SystemRoot%\system32\schedsvc.dll %SystemRoot%\System32\appmgmts.dll %SystemRoot%\System32\srsvc.dll %SystemRoot%\System32\w32time.dll %SystemRoot%\system32\wiaservc.dll %systemroot%為windows資料夾 以上為穿透還原系統以及建立木馬下載器的行為 在各磁碟內建立autorun.inf以及system.dll 但使用的語法和一般隨插即中獎的不太一樣 因為沒有利用autorun語法 open= 所以插入後並不會直接執行 但如果雙擊開啟磁碟圖示時即會執行該病毒檔案 基本上這個是單獨這個病毒的行為。 其他下載的木馬就不多說了，因為太多 清除方式： 1.手動清除 ( 只以該病毒為主，下載器另計) 找上述的正常系統檔案替換回去後並刪除產生的sys檔案 ( nspass?.sys Nskhelper2.sys ) 此動作必須在系統重開機前一口氣做好 不然重開機救回去了 2.EFix 4.95版以後可以有機率清除 ( 能否清除取決於系統內dllcache資料夾 是否有備存正常的系統文件 ) 3.砍掉重練.... 並注意安全性更新要做完整，尤其是最近利用這些漏洞的木馬又特別多... 以上. -- 暮色逼近的雲朵之上，總是孤單一隻地飛著，老鷹一定很悲傷吧 在聲音也中斷的風之中，抓住天空的那對翅膀，無法休息 把心比喻成什麼吧，宛如老鷹一般的這顆心 把心比喻成什麼吧，比喻為宛如在天空飛舞般的悲傷 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.171.86 ※ 編輯: junorn 來自: 220.132.171.86 (12/13 22:53)