發表文章

目前顯示的是 11月, 2017的文章

MS Windows 利用 wscript 啟動的隨身碟病毒之解法

圖片
若在 Windows 環境下,隨身碟突然出現 _ 的資料夾,並且資料全隱藏,只發現 . lnk 或是 USB DISK.lnk (ps. ${Device_name} ) 之捷徑檔,此時使用者要注意已經中了利用 VB scripts 做成的隨身碟病毒了。 主機中毒狀態: 利用 taskmgr.exe 開啟工作管理員,會發現有兩個 wscript.exe執行中, 主要是執行 C:\>%USERPROFILE%\AppData\Roaming\WindowsServices (就是User個人資料夾內的隱藏資料夾 Roaming) 內的 helper.vbs  installer.vbs 此感染路徑與一般感染 Local 隱藏資料夾不同。 故先從 taskmgr.exe 管理內,先停止所有 wscript.exe的執行,接著試著 刪除 上述資料夾內的 helper.vbs 與 installer.vbs。 再使用 msconfig.exe 介面,來觀察開機 啟動 載入的程式,可以看到會有 helper.vbs ,在開機時就被載入,路徑位置為 C:\>%USERPROFILE%\AppData\Roaming\WindowsServices 先取消勾選,來停止開機載入執行之行為。 重開機後 ,再利用 taskmgr.exe 檢測是否有wscript.exe執行。 隨身碟已中毒之處理方面: 利用其他Linux live cd 或是 window PE,可以發現隨身碟內有 .lnk 等檔案,並且包含 WindowsServices 資料夾,資料夾內有 helper.vbs installer.vbs movemenoreg.vbs WindowsServices.exe  # 研究 .vbs 裡面的code,還有這個執行檔,但可能被 AntiVirus 的 App 清除。 (圖一) 並且使用者原有的資料與資料夾,皆會被移至   _ 資料夾,並隱藏。(圖二) (圖一) (圖二) 1. 簡單分析結果,似乎會接觸到 一個網址 xmr.crypto-pool.fr:3333 對應的是 163-172-226-114.rev.poneytelecom.eu

Windows PE (Portable Edtion) 製作

1. 安裝 Windows ADK https://developer.microsoft.com/zh-tw/windows/hardware/windows-assessment-deployment-kit#winADK 2. 將 PE 建立ISO,輸入以下指令 c:\> mkdir c:\winpe_x64 c:\> copype amd64 c:\winpe_x64 c:\> MakeWinPEMedia /iso c:\winpe_x64  c:\winpe_x64.iso 引自 https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/winpe-intro https://msdn.microsoft.com/zh-tw/library/windows/hardware/dn938385(v=vs.85).aspx