※ 引述《junorn (威廉华勒斯)》之铭言： : 目前这样看应该是有点软有新的漏洞被用来当作是攻击了... : 而且是可以直接攻击系统的..我猜的啦 : 而且目前似乎没人知道这漏洞是从哪来的 : 所以...... : 这边强烈建议会发生这种情形的人 : 因为似乎有新一波攻击开始。 : 所以请务必安装防火墙软体 : 更强烈建议电脑前端另外接一颗IP分享器 : 避免又被攻击。 : 另外EFix因为只有对应到系统内有SPRINT.DLL这档的时候 : 才会检查spoolsv.exe是不是有问题 ( 不能每次执行都作检查，因为会有特例 ) : 所以如果再执行时发现EFix 没有重新开机，并且没有删除任何档案时 : 请先在windows\system32资料夹下建立一个sprint.dll档案 : 让EFix能够帮你去判断spoolsv.exe这档案是不是有问题 : 我现在没有时间能够去更新EFix，而且攻击方式并不明，这样做也只能治标 : 无法治本.... : 所以还是强烈建议最少也要装防火墙，起码这样能够避免被直接攻击。 : ---------------------------------------------------------------------- : 该攻击手法是超过我能力范围的事情，就不要太指望我能做些什麽了... : 除非有点软或其他安全厂商能够抓到这漏洞，不然永远无解。 这病毒被执行後似乎会有两种结果: (1)第一种中毒情况很常见 svchost的数目增加 数目至少6个 然後被病毒修改过的spoolsv 会去调用svchost.exe 所以 你在"工作管理员"底下可以看到有一个svchost 是以"目前使用者的名称"执行的 而spoolsv.exe的内容被修改了 如下图 http://messi.100webspace.net/spoolsv.jpg 左边spoolsv的.....部分被病毒修改成可疑代码 具体行为不明?@@ 也许是为了读取sprint.dll??? VT上的报告 http://www.virustotal.com/zh-tw/analisis/9a9dc22faf7be28a5b1dd44f8bf6f96d 被修改过的spoolsv跑去读sprint.dll: http://messi.100webspace.net/spoolsv02.jpg 解决方式: #18tvrFHl 18000篇 (2)第二种中毒情况会发生在[病毒尝试修改写入spoolsv.exe失败的时候!?] svchost的数目不变 维持5个 但是Volume Shadow Copy - vssvc.exe的服务被启动了?! 启动的目的不明?@@ 在"工作管理员"底下可以看到vssvc.exe http://messi.100webspace.net/vss01.jpg 病毒并没有成功修改spoolsv.exe 所以你看到的档案签章状态:Verified http://messi.100webspace.net/checkspoolsv.jpg vssvc.exe 也没有被修改 只是不知道被病毒拿来做什麽事情@@ http://messi.100webspace.net/checkvssvc.jpg 而smlogsvc.exe的内容被病毒修改了 如下图 http://messi.100webspace.net/smlogsvc.jpg VT上的报告 http://www.virustotal.com/zh-tw/analisis/947dce19c95fb71b37dd3690ba05adf1 smlogsvc被修改是用Filemon观察到的 v2messen修改并写入smlogsvc.exe http://messi.100webspace.net/trytomodify.jpg 被修改过的smlogsvc跑去读sprint.dll: http://messi.100webspace.net/smlogsvc02.jpg 以上这两种中毒情况 在sytem32底下 都会建立sprint.dll 解决方式: a. 先到"工作管理员"底下关掉 vssvc.exe 如果有看到 smlogsvc.exe 也一起关掉 b. 然後到 开始 - 执行 - cmd 按enter 在C:\>底下输入 sc stop vss 和 sc stop sysmonlog 关掉後的状态: http://messi.100webspace.net/vss02.jpg 不放心的人请利用SRENG查看: SRENG - 启动专案 - 服务 - Win32服务应用程式 找[Volume Shadow Copy / VSS] 和 [Performance Logs and Alerts / Sysmonlog] 状态应该都是Stopped/Manual Start c. 再到C:\windows\system32\dllcache底下 **要先把"隐藏保护的作业系统档案"打开才看的到dllcache资料夹 将无毒的smlogsvc.exe复制到C:\windows\system32\底下 d.将c:\windows\system32\sprint.dll 删掉 e.重开机看看有没有好转 没有的话...我也不知道该怎麽办了 另外 病毒没有修改dllcache目录里的spoolsv.exe跟smlogsvc.exe 至少我执行的时候没有 检查结果如下 D:\>sigcheck %systemroot%\system32\dllcache\spoolsv.exe sigcheck v1.53 - sigcheck Copyright (C) 2004-2008 Mark Russinovich Sysinternals - www.sysinternals.com c:\windows\system32\dllcache\spoolsv.exe: Verified: Signed Signing date: ?? 01:48 2008/4/15 Publisher: Microsoft Corporation Description: Spooler SubSystem App Product: Microsoft?Windows?Operating System Version: 5.1.2600.5512 File version: 5.1.2600.5512 (xpsp.080413-0852) D:\>sigcheck %systemroot%\system32\dllcache\smlogsvc.exe sigcheck v1.53 - sigcheck Copyright (C) 2004-2008 Mark Russinovich Sysinternals - www.sysinternals.com c:\windows\system32\dllcache\smlogsvc.exe: Verified: Signed Signing date: ?? 01:48 2008/4/15 Publisher: Microsoft Corporation Description: Performance Logs and Alerts Service Product: Microsoft(R) Windows(R) Operating System Version: 5.1.2600.5512 File version: 5.1.2600.5512 (xpsp.080413-2108) 最後...被入侵的原因 不明@@? 目前我还没遇到60秒病毒 也许是运气的问题...who knows? 提一下我的环境: 作业系统: XP SP3 繁体中文专业版 微软更新保持最新 网路:Hinet宽频 没有固定ip 不过我常常电脑一开就开一整天 软体:有装comodo 防火墙软体/有用P2P/防毒用AVG --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.138.61.173 ※ 编辑: idaer 来自: 220.138.61.173 (10/01 12:52) ※ 编辑: idaer 来自: 220.138.61.173 (10/01 12:54) ※ 编辑: idaer 来自: 220.138.61.169 (10/02 22:38)