該 win7 自 2015 後就未進行 windows update,
去年 2016 時有安裝 eset smart security 6 的試用版.
該試用版到期之後, 客人也未進行續購, 就留著它在 win7 x64 系統上.
客人平日只有畫畫 CAD 和 掛機 天堂. 基本上也不開網頁看任何資料.
客人的報修狀況:
電腦開到桌面後, 覺得電腦跟之前比變的非常慢,
掛機時(天堂) 過一陣子系統就會重開機.
分析之後, 該台電腦已被植入木馬, 個人是推測勒索組織利用這木馬,
先進行遠端伺服器記錄客人硬體 ID, 再安裝加密軟體來進行加密之動作...
不過, 在下載加密軟體時...被那殘留未更新的 ess 6 給攔住不給外連!?
ESET 6 記錄:
2017/5/9 上午 02:37:44;HTTP 過濾器;檔案;http://play.best01011.com/445.exe;Win32/VB.OEA 木馬;連線中止;NT AUTHORITY\SYSTEM;存取 Web 時應用程式偵測到威脅: C:\Windows\Prefetch\secscan.exe.;;1970/1/1 上午 08:00:00
secscan 去抓取寫好的加密程式 !?
然候這台如果丟著沒接網路, 程式會自行將電腦重啟.
(估計是因為程式啟動不了, 要讓電腦重新連線再下載 - 不錯, 這有想到!?)
然候那些分析抓檔的過程, 改天再寫一篇文章, 大家一起漏氣求進步了.
以下是從該台電腦抓出五個木馬程式,
分別讓 eset endpoint 5 / Malwarebytes / Hitman Pro 這三套軟體掃瞄的結果.
這結果並不是要推銷或是推廣任何軟體,
只是剛好我目前工作這台只有這三套,
以後有機會再補足其它軟體的掃瞄結果.
ESET
Malwarebytes
Hitman Pro
ESET * 3
Malwarebytes * 1
HitmanPro * 4
結果大家參考看看就好. 至於為什麼沒有丟上 virustotal 去看目前各家的掃瞄情況,
是因為我覺得....用正在運行的軟體掃瞄很有快感...
...
