創作內容

0 GP

[轉載]統整近期流行的W7型系統木馬

作者：L♥veC♡ffee│2017-04-30 22:19:14│巴幣：0│人氣：1866

【閒聊】統整近期流行的W7型系統病毒

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460578

※ 引述《litewei (萊特亞)》之銘言：

已經多到我真的覺得有點煩了...該做個統整了......

近期有兩類名為

update64.exe /msiexev.exe/shelreaket.exe 的特徵的病毒

以及flash加密型的病毒

目前從巴哈版友這邊的討論得知有兩種攻擊特徵

1. 挖礦型主動入侵型 (update64.exe /msiexev.exe/shelreaket.exe)

特徵

會自砍(開工作管理員時)

會自動復活(強迫關掉工作管理員)

會造成CPU占用率提高

攻擊模式採用 PPPOE 連線方的模式去攻擊

會建立新的代理人模式，利用代理人模式達到雙平台運作的方式，進而提高感染成效

只要有足夠的防火牆與漏洞更新就可以做初步阻擋

Update64.exe完整解釋(節錄部分)

vocaloidcat(彩虹小馬桐人我老公)

這個問題的原因源於NSA洩露的Windows工具進行攻擊，駭客已經由美國國家安全局採取了這一工具的優勢來攻擊Windows的服務器。

目前已經得知

用工作管理員結束update64.exe的方式無效

這個處理程序還是會restart

最重要的還是要更新系統補丁

2.加密型被動入侵型 (flash加密型)

先前在伊莉所被放置的駭客型木馬flash 廣告事件點下去的人會中招

特徵

使用者點下去才會中

使用者死命否認去謎網

~~幹伊莉就是謎網當我不知道阿 ex變態也是拉這群傢伙.....~~

檔案會被加密

占用率高

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460497&tnum=1

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460471&tnum=1

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460476&tnum=1

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460175&tnum=2

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460114&tnum=22

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460306&tnum=3

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460290&tnum=1

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460284&tnum=1

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460570&tnum=2

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460120&tnum=46

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460358&tnum=7

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460286&tnum=19

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460651&locked=F&page=1&gothis=2023699#2023699(update64.exe 的病毒解釋)

其中目前來說已經有人知道病毒的攻擊模式

巴哈實驗型版友已有提供很完整的資訊了

woogee(軺冠)

我有5台電腦被攻擊，每一台電腦被攻擊的狀況不同，我在這邊寫下來給大家看線索

它是在大約4/24入侵，4/26約晚間9點發動第一次攻擊(Update64.exe)，4/28約早上11~中午12點發動第二次攻擊(msiexev.exe)

最新版卡巴斯基還沒有把它加入病毒碼，很明顯目前並不安全

我有3台電腦是在被攻擊後就自動關機(或重開機)了，另外2台則紮紮實實(?的接下攻擊了

第1台是因為CPU直接飆高，這台電腦有超頻，CPU連續高速運轉直接被BIOS強制關機了，所以Update64.exe中了之後關機，我手動刪除C:\Windows\dell後，在4/28第二波攻擊又關機了。

第2台原因不明，因為這台都用TeamViewer維護，所以還在等狀況確認。

第3台(關鍵)被攻擊的瞬間就被強制重開機，我因為上面有執行程式，我透過該程式的log找到病毒發動時間點，回去查詢Windows內建的log，找到跟病毒發動時間點相同的有2筆lsass的Crash紀錄

第4台電腦和第5台電腦我目前都已經關機，等六日要去處理。

已經確認的部分：

1.它只對PPPoE連線的電腦進行攻擊，所以如果換成硬撥可以避免掉。

2.系統都是Windows7(但資料查詢下似乎有人Server2008也中)

3.如果電腦被攻擊當下有關機或重新開機，病毒會感染不完全，所以我這邊有蒐集到一些感染到一半的殘檔，這些似乎是在"完全感染"後會被刪除的。

產生的檔案有：

C:\Windows\dell\run64.bat

C:\Windows\dell\svchost.exe

C:\Windows\dell\Update64.exe

C:\Windows\dell\run.bat

C:\Windows\Prefetch\wuauser.exe

C:\Windows\security\msiexev.exe

增加服務：

Windows32_Update

另外它好像還會執行一個rundll32 "C:\PROGRA~2\COMMON~1\MICROS~1\TextConv\NSLS.dll",Main

但這個檔案我不確定是不是病毒，請斟酌後再考慮是否刪除。

依照上述線索(尤其是電腦3)，我懷疑是MS17-004這個更新修補的漏洞進行攻擊的

目前是拿第1台電腦當祭品，安裝手動更新後

https://wmos.info/archives/15595

正在等待下一波攻擊

現在在病毒爆發的階段還有人在持續提供錯誤的處理方法.......

夠了好嗎.... 熱心不要亂誤導....

一般流行性病毒的處理方針只有三條

1. 下載各種的掃毒軟體進行掃毒=>但如果病毒已經弄掛了掃毒系統的話則無法做這種功能

2. 拿給別人用掃毒=>再不啟動病毒的情況下做掃毒這可以防止病毒執行

3. 整台重灌

只有這三種類型方式沒有其他什麼567 或者網路卡重開換螢幕或者換無線AP我家網路就會好的這回事情

一般疑難雜症看不出點的話隨便亂找是沒差

流行性病毒還胡扯就有點過分了

對一般w7 的使用者如何避免病毒

做好更新即可~ 安裝一定程度的硬體防火牆就可以了

點對點的入侵一直都存在

過往來說在奔騰4左右的時期沒有任何防護的電腦大約30分鐘就可以被入侵

現今也差不多....更何況有殭屍電腦後，攻擊的效率可以大幅度提升

版上很多人講者大不了重灌嘛....

cpu100% 直接燒毀的也是有人

直接被加密的也是有人

大不了重灌? 那個大不了重灌的說詞

....得要你有準備重灌的足夠材料與支援等級你才能說這種大話......

....一般的使用者講這種大話的最後都會很後悔....

追加新情報

shelreaket.exe

https://forum.gamer.com.tw/C.php?bsn=60030&snA=460601&tnum=3

brulz(布魯札)

有發現是礦工型的感謝解難

只要做好windows 針對型的漏洞更新

就能處理掉本次的主動入侵問題

嘛.. 繼續不更新嘛那些大不了重灌的人啊..繼續嘴阿...

※ 引述《nanri (nanri)》之銘言：

感覺起來是win7系統漏洞被網路上的電腦直接攻擊入侵所致，

也就是電腦直接取得真實IP(pppoe是其一，第四台網路、學網也是有機會)，

又沒有防火牆控管，就會被植入挖礦程式了。

至於透過router硬撥(NAT模式)沒事，

那是因為網路上的電腦找不到router的相關漏洞，

所以就直接保護了內部電腦免受於攻擊，

除非router有開啟轉port的功能(DMZ、port forwarding)，

不然是不會中這次這種直接攻擊(指update64.exe)。

至於伊莉 flash更新事件，

那個單純只是伊莉被勒索病毒撰寫者相中，

直接攻擊駭入他們的主機之後，修改掉一些程式碼，

只要你有去開伊莉，

就會主動提示你安裝由木馬(或勒索病毒)偽裝的flash更新程式，

然後使用者傻傻地就安裝下去，當然就中獎了....

※ 引述《hhh86520 (消失極限)》之銘言：

> 1. 挖礦型主動入侵型

能主動入侵就是有漏洞

被塞什麼進去都有可能，後門是基本款

其他的像是被放挖礦，算是運氣好，告訴你你的windows該更新了

運氣差就直接被放加密勒索

> 攻擊模式採用 PPPOE 連線方的模式去攻擊

↑是HINET用戶用PPPOE跟ISP拿到的是PUBLIC IP

只要是PUBLIC IP都有可能被打，PPPOE只是拿到IP的方法之一

> 找到檔案位置刪除就好惹
被放挖礦只顧著刪病毒

不更新系統、不開掃毒掃掉被塞進來的後門

還是會被打進來

下次被塞的可能就不是挖礦那麼簡單了

喜歡收藏引用留言推上首頁檢舉

相關創作

同標籤作品搜尋：木馬|update64

[閒聊]驚爆危機update64

[閒聊]又自己重新開機了

[閒聊]最新的w7木馬(圖)

[轉載]Update64.exe木馬(圖)

諸君，許久不見

留言共 2 篇留言

L♥veC♡ffee：
http://i.imgur.com/zWz3cXx.jpg

04-30 23:33

tea：
重點在桐人我老公選我正解

05-01 08:41

L♥veC♡ffee：
-0-05-01 14:24

我要留言提醒：您尚未登入，請先登入再留言

喜歡★lcoffee 可決定是否刪除您的留言，請勿發表違反站規文字。

前一篇：[轉載]Update64... 後一篇：[轉載]勇廳獵奇:可愛的...

追蹤私訊切換新版閱覽

作品資料夾

巴哈About (63)
└巴哈小屋.佈景.勇造.MAIL (154)
└巴哈畫室~GE&AFK (97)
└巴哈畫室~雜圖 (294)
└巴哈畫室~原創(含言小仿繪) (91)
└部落閣話題 (387)
└勇者大廳獵奇 (378)

Granado_Espada (23)
└其他版本資訊 (364)

l-WY_News (656)
└版更明細 (71)
└商城武器+人物+裝飾抽獎 (406)

l-Database(資料庫) (87)
└文章Article&搞笑kuso (108)
└綜合討論discuss (270)
└裝備資料&取得製作(92vs100) (119)
└影片.音樂.Movie.Music (140)
└姿勢Pose&角色Roles (147)

l-Guide(攻略) (13)
└副本.MCCduplicate (85)
└任務Missions (170)

└Photo (483)
└原畫.桌布 (51)

lcoffee (23)
└$不給你看專區$ (146)
└$不給你看GE區$ (84)
└內有惡犬 (133)
└lcoffeesY2B&GE (251)
└垃圾桶+EPUB腳本 (161)

╚GE日記 (1844)
└GE點裝.洗屬.敗家 (568)
└GE朋友與我 (429)
└GE抽抽 (175)

╚GE筆記 (281)
└GE更新事項.板主記事 (64)
└GE活動紀錄.任務.倉庫 (258)

╚GE圖片 (585)
└GE任務對話 (263)
└GE活動對話 (178)
└GE怪物圖鑑 (96)
└GE閃光系列 (161)
└GE哈拉板.精華區 (250)

=非GE之收藏or轉載= (320)
└維基.知識家.百度 (283)
└clickme.ptt.笑話 (428)
└好人.好事.好話.好詞 (132)
└教學.好用程式 (102)

A.C.G. (349)
└PokémonGO (266)
└PKMG紀錄 (201)
└劍與遠征AFKarenaData (101)
└劍與遠征AFKarenaMCC (43)
└劍與遠征AFKarena (83)

M.N.T. (1361)
└攸關眾人的事 (126)
└動漫畫小說心得 (558)

CHAT(閒聊) (1866)
└工作見聞+便利商店公仔瘋 (722)
└GoogleDoodle (322)

未分類 (2295)

leo25127 給更新至1224回：
穿越奇幻日常系小說『公爵家的獨生子』更新囉，來看看我們無厘頭的ㄎ一ㄤ少爺怎麼在異世界作威作福吧！看更多我要大聲說1小時前