2010年7月29日 星期四

[新聞] 中國變種木馬 綁架桌面捷徑

會貼這篇是因為要有看到這篇的人不要照這新聞的方式去做

首先新聞連結於此:新聞連結
這邊上面提到的先不管
這邊要注意的是後面提到的解決方式

趨勢科技也提供修復方式,網友可在「附屬應用程式」中找到「執行」,輸入「regedit」,按下「編輯-->;尋找」,輸入被綁架前往的目的網址,找到左方相對應的CLSID值;之後,再「編輯-->;尋找」,輸入CLSID值,將搜尋到的登錄值全數刪除,即大功告成。

這邊真的不知道該怎麼說...0rz
一般來說桌面上所產生的捷徑如果按右鍵沒有刪除這一個選項的話
那大多都是使用CLSID所產生出來的沒錯,那東西不是檔案

一般作法也是刪除CLSID數值沒錯,但刪除的重點並不是整個刪除...
先假設數值為
HKEY_CLASSES_ROOT\CLSID\{00000000-1111-2222-3333-000000000000}\SHELL\開啟(O&)\Command
底下的數值為(預設值) REG_SZ "C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE" "http://www.綁架位置.com"


這一段是可以很明顯看到有問題
但刪除要怎麼刪?


首先先找{00000000-1111-2222-3333-000000000000}數值本身是不是正常的數值
怎麼找? GOOGLE很好用的...
假設一找下去完全沒有任何資料
那就可以直接刪除HKEY_CLASSES_ROOT\CLSID\{00000000-1111-2222-3333-000000000000}這一整段
並到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace這邊去找{00000000-1111-2222-3333-000000000000}這一個值將他刪除


那假設找到的資料是正常值呢?
現在假設改成HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\SHELL\開啟(O&)\Command


這一個{e17d4fc0-5564-11d1-83f2-00a0c90dc849}數值原本是正常的CLSID,是WINDOWS XP在使用的搜尋功能相關數值


假設照上面所說的直接將HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}整段刪除後


那WINDOWS SEARCH功能馬上失效,並且會有各種可能出現的小問題產生


同樣情形如果是{1f4de370-d627-11d1-ba4f-00a0c91eedba}直接刪除
那我的電腦相關的東西都會無法開啟


那碰到這種的要怎麼辦?
這邊就是要注意CLSID數值之後的值
以上面為例


HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\SHELL\開啟(O&)\Command


正常的系統來說{e17d4fc0-5564-11d1-83f2-00a0c90dc849}不應該帶有SHELL值的
所以刪除上面就是刪除HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\SHELL之後的值


而不是HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}整段刪除


同樣的正常數值在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace這邊也不能隨便刪除
會建議到正常電腦去比對數值,正常的有就不要刪




這樣才是比較正確的做法
不然以現在的首頁綁架方式大多都是修改正常數值的值去綁的
照這篇新聞所說的直接將整個值砍掉.


砍完是OK啦,系統也差不多掛了吧.....


---------------------------------------------------
以上如果看不懂? 那跑EFIX吧...
使用EFIX的IERESET::腳本可以清掉目前比較常見的數值修改
但除了這樣以外還要注意其他像是被修改的捷徑
捷徑關聯是否被修改
或者是另外有惡意程式監控數值反覆修改等
總之並沒有那麼簡單就是.雖然清除也不困難啦....




-----------------------------------------------------
在不懂?
那請人幫你處裡吧...這種東西沒事不要隨便亂動,不然沒備份死系統是會想哭的.

2010年7月28日 星期三

EFix 5.7 20100728.06

版本: 5.7 20100728.06

檔案資訊:

File size: 1525001 bytes
MD5...: c11202947b351f8fb5ffb55776f13910
SHA1..: 67a6dab848a8b13ef036edd3cbf6e6b93b532260

測試過的作業系統:
Windows 7 X86
Windows XP SP2
Windows XP SP3

修改事項:
修正檔案關聯性列舉問題
修正APPINIT_DLLS不列舉問題
修正IERESET::腳本參數可能造成的部分CLSID遺失問題
修正SERVICE列舉SVCHOST.EXE路徑錯誤問題

2010年7月23日 星期五

為何才發布三天就說已過期?

20100720.05這一版前面有提到過自動更新有問題

問題就在偵測自動更新偵測到更新時就會顯示檔案過期...0rz
所以才會顯示已過期

0723.04這一版已修正。

EFix 5.7 20100723.04

版本:5.7 20100723.04

檔案資訊:

File size: 1619148 bytes
MD5...: def4034a372cdcf6bffe4d0ec901241b
SHA1..: 6547345225869ebb4739fed308df8aa51b52b60a

測試過的作業系統:
Windows XP SP2
Windows XP SP3
Windows 7 X86

修改事項:
修正自動更新的問題
新增刪除檔案

2010年7月22日 星期四

新的攻擊手法

目前是還沒有在台灣有看到過。

不過既然新聞稿發那麼大並且也有實際的樣本出現了
那就大概提一下

這一個攻擊手法就目前來說也有透過隨身碟
但危害度比以往的AUTORUN.INF和偽裝資料夾要危險多了

轉貼PTT KarasuTW所提供的資料


微軟正在調查一起針對 Windows 殼層弱點進行的侷限且針對性的攻擊
攻擊者利用變造的捷徑檔,令目標系統在顯示出捷徑指定的圖示的時候
執行任意程式碼,攻擊者將獲得與目前本地使用者相當的權限。


攻擊案例:在隨身碟內植入帶有惡意程式的檔案 (應該可以是任意副檔名)
然後在根目錄植入特製捷徑檔,一待使用者瀏覽此隨身碟的根目錄
顯示出該捷徑檔的圖示時,惡意程式隨即執行。
亦可利用共享資料夾進行此攻擊。


影響範圍:WinXP SP3 ~ Win7、Win 2003 SP2 ~ Win 2008 R2 均受影響

是的,就目前的所有主流Windows全部躲不過
但更危險的是他並不需要使用者點擊或透過特殊方式進行攻擊
他只要使用者有開那個惡意程式所在的資料夾並且看到圖示就直接進行攻擊

簡單說就是看到圖就中啦...
就和你走在路邊看到一隻會咬人的狗,你只是經過看到他而已結果就被他咬這樣..

目前這一篇發佈的時候微軟還沒有提供相關的安全性更新進行修正
可能再等幾天吧....

目前的暫時處理方式
同樣轉貼PTT KarasuTW所提供的資料


應變方案:
1. 停止為捷徑檔顯示指定的圖示:
將 HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler 預設值的資料清空
然後重開機或是重啟 explorer.exe
此選項的影響是所有捷徑都會顯示系統內建的統一圖示。



2. 停止 WebClient 服務
將 WebClient 啟動類型改為已停用,並停止 WebClient 服務運作
WebDAV 和所有明示依賴 WebClient 服務的應用程式都將無法運作。

這兩種都是暫時的解決方案
這邊EFIX不會增加項目做處理,因為這只是暫時性方案而已
只是以很多人不喜歡更新這一點來說
勢必需要做一個提示上去就是.

目前手頭上也看到樣本了,感謝AVPCLUB Upside提供
不過由於目前沒看到相關感染案例,所以並不會馬上加到清單內
等真的有碰到再說....

2010年7月20日 星期二

自動更新又寫壞了...0rz

這一次是沒寫好...我的疏忽0rz

順便說明一下好了

EFIX的自動更新機制會做三個檢查
第一個是版本更新檢查
第二個是版本過舊檢查
第三個是嚴重BUG檢查

第一個就是連網路檢查有沒有新的版本,有就下載比對,下載失敗或者是
不想要下載還可以繼續執行.

第二個和第一個的差別是,檢查到版本過舊時會跳出提示說已過期
假設不更新的話就會直接停止繼續執行不動作.

第三個是當檢查到有嚴重BUG時會馬上停止執行並自我銷毀.

到目前為止第三個是還沒有用到過.

第一和第二個這幾次改版都寫不好0rz
常常只顧東顧不到西的,加上AUTOIT改版之後的語法有變動
我到上上個星期才發現到....0rz

所以之前的自動更新功能一直出問題,當然和空間也有關.

這個以後再慢慢修正,目前還有很多需要處裡的...

EFix 5.7 20100720.05

版本:5.7 20100720.05

檔案資訊:

File size: 1621436 bytes
MD5...: e4078f310370ecbafa39fe827e3fb043
SHA1..: 44d080914bee7d151416fa69103e3e01d93b61e2

測試過的作業系統:
Windows 7 X86
Windows XP SP2
Windows XP SP3

修改事項:
增加刪除檔案
加強一點首頁綁架預設處理的能力
修改小部分自動腳本結構


備註:
這兩天身體還是很不舒服...0rz
所以就不弄太多東西了.

2010年7月16日 星期五

靠么...昨天差點掛在路邊

是真的差點掛掉...0rz

昨天照慣例騎車去接女朋友的時候結果突然發生全身發麻的情形
並有呼吸困難的情形發生
後來稱到我女朋友公司的時候叫我女朋友叫計程車到了急診

結果是呼吸過度?
我自己是完全沒有任何感覺呼吸過度的情形
不過似乎是這樣...結果打了醫生開的鎮定劑之後
過沒多久就好了
不過還真的是有鎮定感...走路都東倒西歪的

這個時候會覺得有女朋友真好QQ

不過有另一半的人要注意
除了要保護自己心愛的另一半以外
自己也要多保護好自己,也要多體諒自己的另一半

昨天在急診室的時候有碰到一個年輕小妹妹出車禍
哭得很慘,除了傷痛以外也一直提到他害死她男友

因為她男友掛了.....
後來聽我女朋友說那個小妹妹似乎是要求她男朋友接她
結果他男朋友就在載她騎車時打瞌睡...結果就是摔車
後來就是這樣....

我每次去急診室真的會常常碰到這種有的沒的事情
這一次還真的是讓人覺得蠻悲哀的....

2010年7月13日 星期二

EFix 5.7 20100713.09

版本:5.7 20100713.09

檔案資訊:

File size: 1541659 bytes
MD5...: 7f1101f43b09792a4cb6e6ff8e8bb456
SHA1..: 93c43907bd083ce70cd01f6263141ea282ca0630

測試過的作業系統:
Windows 7 x86旗艦版
Windows XP SP2
Windows XP SP3

修改事項:
這個就是上一篇說的應該要放上來的版本...
新增腳本參數
ENABLE AUTORUN:: 開啟關閉的自動執行功能 ( 如果是使用EFix 5.x版關閉的話.. )
DISABLE AUTORUN:: 關閉自動執行功能 ( 使用鎖HKCU\...MOUNTPOINT2權限的方式 )
LNKFILE RESET:: 還原HKCR\LNKFILE登錄值,對應首頁綁架用的

腳本做一些微調。
新增刪除檔案

去除腳本參數EXTRA::
那真的沒甚麼用..0rz


備註:
基本上修改已經大致完成,看後續如何再決定是否要做最後的修改。

EFix 5.7 20100712.05

版本:5.7 20100712.05

檔案資訊:

File size: 1528963 bytes
MD5...: 31bde4a441f8a74dada02366bb1a4e86
SHA1..: 861e36082abfabdb01d64a52dd4c6b7306edd5e9

測試過的作業系統:
Windows XP SP3
Windows XP SP2
Windows 7 x86 (旗艦版)

修改事項:
新增第三方工具REG.EXE和PRE.EXE
前半段批次腳本做大幅更改
GUI介面有變動請注意
修正部分人匯入登錄值會失效的問題

備註:
........放錯了0rz
我似乎上傳到還沒修改完全的版本
不過原本要放的版本只有介面多一點東西而已所以沒差就算了先發佈
原本要發的版本下一次再發。

2010年7月8日 星期四

EFix 5.6 20100708.02

版本:5.6 20100708.02

檔案資訊:

File size: 1570025 bytes
MD5...: 3d11a48868b64c45ece781bcb25a866d
SHA1..: c7ef72d35492c9c2774c22d42cde9e85d63d73f5

測試過的作業系統
Windows 7 x86中文旗艦版
Windows XP SP3 中文版

修改事項:
修正因中文字元造成無法讀取啟動和桌面資料夾位置的問題
新增刪除檔案
自動更新讀取檔案時間拉長看自動更新是否能夠撐住。


備註:
還是沒改完...而且開始考慮有沒有那個需要去做大修改
因為測試過後檔案起碼增加400k...這樣光整包就快2M.
然而也只是增加了一些迴避以及避免被人看到源碼而已..這不是我的作風
所以就在考慮是否是真的要做大改嗎....?
在想看看好了.

2010年7月5日 星期一

自動更新...0rz

還是依樣老問題,GOOGLE空間也爆啦XD
三個分流都不行.....0rz

這樣也都不行那我看大概也生出不空間來做處理了...0rz
這邊會在改版將下載時間拉長看看效果如何。

EFix 5.6 20100705.04

版本: 5.6 20100705.04

檔案資訊:

File size: 1493220 bytes
MD5...: 70da900e6f08782a70ab0579ec78d797
SHA1..: 7e0dc93f7eece58173fdcd9b29478984a1745e0b

測試過的作業系統:
Windows 7 x86
Windows XP SP2
Windows XP SP3

修改事項:
修正0703版的刪除檔案列表BUG
移除第三方工具REG.EXE
新增第三方工具SWREG.EXE
修改部分批次結構.
修改GUI自動執行選項功能,原本的關閉開啟自動執行功能取消,只留微軟方案.
因為測試後不穩定因素太多所以先去除掉。


備註1:
基本上還沒改好...
不過因為0703版的BUG所以必須要先放出來沒辦法。

備註2:
SWREG這次是偷偷放上去...隨時有可能會又改回5.5版...0rz

2010年7月3日 星期六

EFix 5.5 20100703.07

版本:20100703.07

檔案資訊:

File size: 1241507 bytes
MD5...: aa619367d26d557188b72f0e75cbcfa1
SHA1..: e69eb5ccd6d614779ab02d64a693a1c28fbad1c2

測試過的作業系統
Windows 7 X86旗艦版
Windows XP SP3

修改事項:
新增刪除檔案
修改內部部分批次結構.


備註:
這一版其實是不小心放上去的...東西還沒改完
不過既然已經放了就算了先放上來也好,剛好有加到比較新一點的惡意程式.

2010年7月1日 星期四

碎碎念...最近改的真累0rz

由於發現之前會針對efix進行攻擊抵制的病毒有偷偷改版,同樣會對efix進行攻擊。
所以目前都先將重點放在迴避上面

只是改起來很辛苦....0rz
為了這個我還特別寫一個自動化的假編譯工具XD ( 用AUTOIT幫我每次打包的時候都做一些變化 )
只是後來發現似乎不只只有抓那一點東西進行攻擊
所以現在就在進行大改...
如果改好了原本的弱點會消失並且不是很好破 ( 預計啦 )
但.......真的很複雜0rz

原本寫的腳本編譯法要全部重寫..並且也要另外再包工具進去,檔案會變更大.
不過沒辦法這是趨勢,以後有機會的話我也想將SWREG放回去,不然一直靠下載很麻煩.