2009年2月19日 星期四

W32.Virut.CF

早幾天我的電腦出現了問題。初時都感到十分奇怪,好幾個程式被 Norton Internet Security 2009 評為中了 Suspicious.MH690.A 而被移除,之後連 rundll32.exe 也都被移除了。最後甚至連 winlogon.exe 也都無故提示要連線至中國的網站(還好我的防火牆是手動設定的,用 whois 查看對方的 IP 後,我便攔截了)。

看來是中毒了。

上星期三清晨才執行過 Windows Update,最近也都用 Spybot-S&DNIS2009 掃瞄過電腦,也都沒有甚麼異樣。但還是趕緊的更新後再掃瞄多次。

NIS2009 沒有甚麼結果(好像只有幾個 Suspicious.MH690.A),而 Spybot-S&D 則在 Registry 中找到 Win32.Delf.uc。跟著當然是除掉它們啦。

但電腦還是繼續出問題。

按照掃瞄結果,看來是有 Windows 系統檔案中了毒,救也救不了,因為中了毒的檔案都被移除了。嘗試從 WINDOWS\ServicePackFiles\i386 中複製也都不太成功。想了想,把個人檔案備份好之後便由上個月的 Ghost image 覆蓋過來。(其實還試過執行 Malicious Software Removal Tool,但執行了一段短時間,這小工具就好像停止不能繼續掃瞄。初時用上個月的 Ghost image 時執行更新也都有問題,因而嘗試格式化重裝 Windows。可是有太多的程式和設定要做,還是選擇了那 Ghost image。還好,最後經反覆嘗試也能成功更新了。)

覆蓋之後便立即執行 Windows Update,更新 NIS2009Spybot-S&D。更新好後便重新開機並進入安全模式,再用 NIS2009Spybot-S&D 掃瞄所有檔案。

最後終於找到原兇了──W32.Virut.CF,總共 593 個應用程式(.EXE)檔案受感染而被移除。

其實也不明白為何自己的電腦會中毒的,我向來都有執行 Windows 更新,上網也頗為謹慎,防火牆也是手動設定,認清楚才讓程式上網,大約一個星期都會執行完整掃瞄一次....。直至我預備寫這篇 Blog 的時候,搜尋到這篇──N360 V3 Getting its but kicked by W32.Spybot.worm & W32.virut.CF,我才恍然大悟。

除了日常用的 Windows XP 之外,上星期我也開始試玩 Windows 7。而我在 Windows 7 中所安裝的防毒和防火牆軟件,正是 Norton 360 Version 3.0 Beta

後記:
那篇文章的樓主還發了另一帖子,有人回答說是「I found N360 V3 would detect but still allow the Process to start and file to run, and the infection started.」,但這還解釋不到為何我連 Windows XP 也都中毒。我懷疑這病毒出現初期,可能連 NIS2009 也是同樣地容許它執行,所以連 WinXP 也都有系統檔案中毒。另外,若不幸地中了這類會改寫檔案的病毒,最佳,最安全和最快捷的處理方法是格式化硬碟再重裝 Windows。

延伸閱讀:
Symantec Security Response Blog:W32.Virut.CF—Collateral Damage
Symantec Security Response:W32.Virut.CF
miekiemoes' Blog:Virut and other File infectors - Throwing in the Towel?
BleepingComputer.com forum:win32.delf.uc and win32.jolee.K, and possibly others :(, tried spybot and malwarebytes, malware still remains

沒有留言:

張貼留言

注意:只有此網誌的成員可以留言。