HaHa Foto病毒_介紹、處理帖
HaHa Foto病毒_介紹、處理帖 (整理自各大論壇、FB,底下有處理方法...)
最近~HaHa Foto病毒很猖獗 ((?
已知症狀:
FB、MSN、即時通,自動貼文傳播,讓更多人中毒。
無法開啟工作管理員
關閉Win自動更新功能
他應該會給你一個網址長這個樣子...
一開始第一個版本是這樣...
http://goo.gl/spv7d --> http://www.mediafire.com/?529p44wz5yjyop7
這個連結會下載到一個病毒壓縮檔
Picture19.JPG.zip
這壓縮檔裡有一個檔案
Picture19.JPG_www.facebook.com
很巧的是,網站的.com
在Win系統當中是MS-Dos 應用程式,所以有人就點了下去...執行的結果是...
在你的電腦中創建了一個檔案...路徑如下
%Windir%\mdm.exe // C:\Windows\mdm.exe
修改了服務項目...
%System%\svchost.exe -k netsvcs // 自動更新關閉
登錄檔...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Microsoft Firevall Engine = "%Windir%\mdm.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]
Microsoft Firevall Engine = "%Windir%\mdm.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Microsoft Firevall Engine = "%Windir%\mdm.exe"
其程序的對外連結
對外連結:74.208.127.48:5050
--------------------------------------------------------------------------------------------------------------------
這是變種過的第二版本的樣子...
http://bit.ly/zTB3a3?Facebook.com-IMG6326607.JPG
---這是縮短過的---↓
http://dl.dropbox.com/u/64559045/Picture24.JPG.zip?1185818866
這個連結會下載到一個病毒壓縮檔
Picture24.JPG.zip
這壓縮檔裡有一個檔案
Picture24.JPG_www.facebook.com
很巧的是,網站的.com
在Win系統當中是MS-Dos 應用程式,所以有人就點了下去...執行的結果是...
%Windir%\mdm.exe // C:\Windows\mdm.exe
%Windir%\Temp\42381.exe // C:\Windows\Temp\42381.exe
%Windir%\dlwt.exe // C:\Windows\dlwt.exe
登錄檔...
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Firevall Engine
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Firevall Engine
其程序的對外連結
對外連結:217.160.92.16 需要登入 國別:德國
基本上這個病毒作者的ASM應該很強 =口=?
特徵馬(免殺)處理得很好,至少目前沒有防毒偵測的到他...
其中調用的方式也很強大...
單一Handle就控制了MSN和即時通
控制FB適用Java...請看
http://coderrr.wordpress.com/2008/05/06/facebook-chat-api/
http://www.skamid.com/technology/beware-facebook-auto-chat-virus/
http://www.webtlk.com/2010/11/30/can-i-turn-on-facebook-chat-auto-reply/
基本上除了進程保護做得稍弱(未深入Ring3以下)其他都頗強大XD
傳播速度(感染力)也夠...
其他其他類似相關病毒請參考這篇...
http://tw.knowledge.yahoo.com/question/question?qid=1306022102067
解毒腳本:
https://docs.google.com/
請注意...請避免點擊此類網址...並避免開啟不明檔案
最近~HaHa Foto病毒很猖獗 ((?
已知症狀:
FB、MSN、即時通,自動貼文傳播,讓更多人中毒。
無法開啟工作管理員
關閉Win自動更新功能
他應該會給你一個網址長這個樣子...
一開始第一個版本是這樣...
http://goo.gl/spv7d --> http://www.mediafire.com/?529p44wz5yjyop7
這個連結會下載到一個病毒壓縮檔
Picture19.JPG.zip
這壓縮檔裡有一個檔案
Picture19.JPG_www.facebook.com
很巧的是,網站的.com
在Win系統當中是MS-Dos 應用程式,所以有人就點了下去...執行的結果是...
在你的電腦中創建了一個檔案...路徑如下
%Windir%\mdm.exe // C:\Windows\mdm.exe
修改了服務項目...
%System%\svchost.exe -k netsvcs // 自動更新關閉
登錄檔...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Microsoft Firevall Engine = "%Windir%\mdm.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]
Microsoft Firevall Engine = "%Windir%\mdm.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Microsoft Firevall Engine = "%Windir%\mdm.exe"
其程序的對外連結
對外連結:74.208.127.48:5050
--------------------------------------------------------------------------------------------------------------------
這是變種過的第二版本的樣子...
http://bit.ly/zTB3a3?Facebook.com-IMG6326607.JPG
---這是縮短過的---↓
http://dl.dropbox.com/u/64559045/Picture24.JPG.zip?1185818866
這個連結會下載到一個病毒壓縮檔
Picture24.JPG.zip
這壓縮檔裡有一個檔案
Picture24.JPG_www.facebook.com
很巧的是,網站的.com
在Win系統當中是MS-Dos 應用程式,所以有人就點了下去...執行的結果是...
%Windir%\mdm.exe // C:\Windows\mdm.exe
%Windir%\Temp\42381.exe // C:\Windows\Temp\42381.exe
%Windir%\dlwt.exe // C:\Windows\dlwt.exe
登錄檔...
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Firevall Engine
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Firevall Engine
其程序的對外連結
對外連結:217.160.92.16 需要登入 國別:德國
基本上這個病毒作者的ASM應該很強 =口=?
特徵馬(免殺)處理得很好,至少目前沒有防毒偵測的到他...
其中調用的方式也很強大...
單一Handle就控制了MSN和即時通
控制FB適用Java...請看
http://coderrr.wordpress.com/2008/05/06/facebook-chat-api/
http://www.skamid.com/technology/beware-facebook-auto-chat-virus/
http://www.webtlk.com/2010/11/30/can-i-turn-on-facebook-chat-auto-reply/
基本上除了進程保護做得稍弱(未深入Ring3以下)其他都頗強大XD
傳播速度(感染力)也夠...
其他其他類似相關病毒請參考這篇...
http://tw.knowledge.yahoo.com/question/question?qid=1306022102067
解毒腳本:
- @echo off
- title HAHAFOTO解毒腳本 - Made By Inndy
- color 0e
- echo 感謝 HackStuff的a0973302798提供此病毒初步分析
- echo 如果病毒有後續動作可能無法有效處理...
- echo 按下任意按鍵開始解毒...
- pause>nul
- echo 終止病毒程序...
- taskkill /f /im mdm.exe
- echo 刪除自動啟動病毒...
- reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Microsoft Firevall Engine" /f
- reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run" /v "Microsoft Firevall Engine" /f
- echo 刪除病毒執行檔案...
- del %UserProfile%\dlwt.exe > nul
- del %Windir%\Temp\42381.exe > nul
- del %windir%\mdm.exe > nul
- ping 127.0.0.1 -n 2 > nul
- cls
- :Ask
- set /p "EnableAU=請問是否啟動Windows自動更新? (Y/N)"
- if /i "%EnableAU%"=="y" goto EnableAU
- if /i "%EnableAU%"=="n" goto End
- goto Ask
- :EnableAU
- net start wuauserv
- :End
- cls
- echo 解毒完畢...感謝您的使用
- echo 按下任意按鍵離開
https://docs.google.com/
請注意...請避免點擊此類網址...並避免開啟不明檔案
請問一下 如果我不小心點到連結而且下載了檔案 但是我沒有解壓縮這個檔案 就直接刪除了 這樣會中毒嗎??
回覆刪除未執行.com檔案就不會中毒...
刪除謝謝版主的回答 也謝謝樓下的那位
刪除事實上有 網路你只要進去那網頁都會留下瀏覽data圖片的很多都會留下data若那張照片有毒那妳的data裡面就有毒了你就中獎了 解決方法:查清楚是甚麼檔名用防毒刪掉就ok了
刪除基本上...圖檔這種東西是很少有毒的...
刪除除非病毒作者在圖片PE頭上下功夫...
理應不會
回覆刪除請問一下,您是如何了解這個病毒檔的內容的,是用了什麼軟體或工具嗎,只是純粹想了解!
回覆刪除虛擬機(Virtualbox)或沙盒(Sandbox)
刪除虛擬機的話要搭配一些工具取得他進行的動作
沙河本身應該就有紀錄...
batch裏少了幾行,有些機器會清不乾淨
回覆刪除attrib -h -s -r %windir%\mdm.exe
另外,小雨傘已經可以抓到這支了
Luc.
感謝分享
刪除可以幫我打好嗎?我不清楚我自己補上去
刪除大大您好,請問使用最後一一段那可程式就可以把讀清掉了?
回覆刪除謝謝您!
將那段複製下來存成.bat檔
刪除如果不會可以直接下載程式...