[Virus] 不明的惡意程式


小女兒在玩手機,忽然女兒電腦跳出要求提高權限執行,女兒問我是啥,我就幫忙看看。

部分內容沒保存,直接刪了,簡單的描述一下。

首先是小紅傘攔了一個批次檔,放在 %LocalAppData% 下,因為批次檔不執行就沒事,我先把他從小紅傘還原回來檢查。

看起來是透過 Windows 內建的 SmartScreen 提高權限允許做某些事,但是那些指令我沒研究過,之後呼叫 PowerShell 處理幾個目錄:

%LocalAppData%\Update
%LocalAppData%\Updates
%LocalAppData%\Google\Update
%LocalAppData%\Microsoft\Update
%LocalAppData%\Mozilla\Update
%LocalAppData%\Packages\Update

檢查這幾個目錄,目錄裡面都被塞入下圖這些檔案,看起來部分程式是用 python 寫的,或是要偽裝成正常程式?

自動產生目錄的惡意程式

先看工作管理員,看不到可疑程式,就先把上面的目錄全砍了,砍完後沒幾分鐘,這幾個目錄就生出來了。

近期看到很多惡意程式是透過排程啟動,檢查排程後,發現下圖由 OS 建立的排程,分別每 10 分鐘執行各目錄下的 updates.exe

惡意排程

除了一個排程 ServiceGPUTaskUpdate 是使用者登入時觸發外,其他 UpdateCore0x30? 都是每 10 分鐘觸發一次,分別對應到上述不同目錄的執行檔。

所以要刪除前,先把所有服務停用,再分別刪除上述目錄,再刪除服務即可。

Google 相關關鍵字還沒找到是甚麼病毒,最近要稍微關注一下。

Categories: 技術分享 | 標籤: | 發表留言

文章分頁導航

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

在 WordPress.com 建立免費網站或網誌.

%d 位部落客按了讚: