2010年7月29日 星期四

[新聞] 中國變種木馬 綁架桌面捷徑

會貼這篇是因為要有看到這篇的人不要照這新聞的方式去做

首先新聞連結於此:新聞連結
這邊上面提到的先不管
這邊要注意的是後面提到的解決方式

趨勢科技也提供修復方式,網友可在「附屬應用程式」中找到「執行」,輸入「regedit」,按下「編輯-->;尋找」,輸入被綁架前往的目的網址,找到左方相對應的CLSID值;之後,再「編輯-->;尋找」,輸入CLSID值,將搜尋到的登錄值全數刪除,即大功告成。

這邊真的不知道該怎麼說...0rz
一般來說桌面上所產生的捷徑如果按右鍵沒有刪除這一個選項的話
那大多都是使用CLSID所產生出來的沒錯,那東西不是檔案

一般作法也是刪除CLSID數值沒錯,但刪除的重點並不是整個刪除...
先假設數值為
HKEY_CLASSES_ROOT\CLSID\{00000000-1111-2222-3333-000000000000}\SHELL\開啟(O&)\Command
底下的數值為(預設值) REG_SZ "C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE" "http://www.綁架位置.com"


這一段是可以很明顯看到有問題
但刪除要怎麼刪?


首先先找{00000000-1111-2222-3333-000000000000}數值本身是不是正常的數值
怎麼找? GOOGLE很好用的...
假設一找下去完全沒有任何資料
那就可以直接刪除HKEY_CLASSES_ROOT\CLSID\{00000000-1111-2222-3333-000000000000}這一整段
並到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace這邊去找{00000000-1111-2222-3333-000000000000}這一個值將他刪除


那假設找到的資料是正常值呢?
現在假設改成HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\SHELL\開啟(O&)\Command


這一個{e17d4fc0-5564-11d1-83f2-00a0c90dc849}數值原本是正常的CLSID,是WINDOWS XP在使用的搜尋功能相關數值


假設照上面所說的直接將HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}整段刪除後


那WINDOWS SEARCH功能馬上失效,並且會有各種可能出現的小問題產生


同樣情形如果是{1f4de370-d627-11d1-ba4f-00a0c91eedba}直接刪除
那我的電腦相關的東西都會無法開啟


那碰到這種的要怎麼辦?
這邊就是要注意CLSID數值之後的值
以上面為例


HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\SHELL\開啟(O&)\Command


正常的系統來說{e17d4fc0-5564-11d1-83f2-00a0c90dc849}不應該帶有SHELL值的
所以刪除上面就是刪除HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\SHELL之後的值


而不是HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}整段刪除


同樣的正常數值在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace這邊也不能隨便刪除
會建議到正常電腦去比對數值,正常的有就不要刪




這樣才是比較正確的做法
不然以現在的首頁綁架方式大多都是修改正常數值的值去綁的
照這篇新聞所說的直接將整個值砍掉.


砍完是OK啦,系統也差不多掛了吧.....


---------------------------------------------------
以上如果看不懂? 那跑EFIX吧...
使用EFIX的IERESET::腳本可以清掉目前比較常見的數值修改
但除了這樣以外還要注意其他像是被修改的捷徑
捷徑關聯是否被修改
或者是另外有惡意程式監控數值反覆修改等
總之並沒有那麼簡單就是.雖然清除也不困難啦....




-----------------------------------------------------
在不懂?
那請人幫你處裡吧...這種東西沒事不要隨便亂動,不然沒備份死系統是會想哭的.