ryuozero Site Admin
�������: 13 Jul 2005 �ͺ: 1145
|
�ͺ�����: Sat Jan 13, 2007 2:17 pm ����ͧ: �Ըա�áӨѴ����� flashy |
|
|
�Ըա�áӨѴ����� flashy.exe 1.
���������: Backdoor.Glupzy is a Trojan horse that changes the administrator password on the compromised computer.
- ��鹵͹��áӨѴ����ʪ��� Flashy.exe ������ (1.-6.) ��� Safe Mode ��ҹ��
- ��ǹ����ͧ password ���价�� User account � Control panel ���͡ Change Password ��ͧ�á ��������� hacked ŧ� ��ͧ 2 �Ѻ 3 �������к��������� ����ͧ������� (��������)
�ҡ�âͧ����ͧ���Դ Flashy.exe
- �������ö���¡�� Task Manager, Registry Editor ���Folder Option �� �����Ҩ����¡�����Ը��
- �ҡ��������䢴����Ըա�÷� System Restore �������ͧ�ͧ�����ӡ�õ������������
Flashy.exe �зӡ�������ʢͧ������� ������������ö Login �������ͧ�ͧ������ա���
- Error �����ʴ�����ҷѹ������� ��Ǩ�������ҹ Controller �ͧ Removable Media ��ҧ�
��������Ҩ�л������������ ����������º Card Reader ���仡����� Error ���ѹ��
- ��������º Flash Drive ���� �������º Memory Card ����� Card Reader ����
�ҡ��� � Memory Card ����� Folder ���� Folder ����ҹ�鹨ж١����¹��������� ʶҹ� Hidden ���������������ö�ͧ��� Folder �ͧ���㹹����
- �ҡ���� Memory Card ���� Flash Drive �ͧ����� Application ���� ( ����չ��ʡ����� .exe ) Flashy.exe �зӡ�û������͵���ͧ��繪������ǡѹ
Application ���� ���������������Application �ͧ��ҡ��ѧ���¡��ҹ����������
- ���ա����¹���ŧ� Memory Card ���������ŧ� ��з�������ͧ��˹�ҵ�����͹ Folder ( ��������� Brontok ) ����������������������� ����ͧ��蹨�
�ͧ����� Folder ����� User ���ѹ���ѧ��� �ʹѺ���Ť�ԡ仡���ҡѺ�繡���ѹ Virus �������ͧ㹷ѹ��
- Virus ��ǹ���������Ш������͢��� (�������� ���������¹������� �Դ��駵���ͧ�����ͧ�����ǧ LAN �ͧ��� �ѹ������������ͧ����ѹ������ҹ�� ���� Flash
Drive �繾���᷹)
- �ҡ�è��ʴ���㹷ѹ�� ������ͤ���� �繤���� � ���ҧ Brontok.
��鹵͹��áӨѴ����� Flashy.exe
1. ��ҵ�ͧ���������ͧ��ҷ�� �Դ Password ���� boot ������͹ ������ ���� Hirens BootCD 8.1 �����Ǣ�� pass.... ���͡��� 1. Act...
- ����� �ж����� patition ����ѹ�˹ ��ҡ����͡�
- ����� �ж����� Account ������ҧ pass �ѹ�˹ ��ҡ����͡�
- �������� �͡�ҡ����� ��ҡ� reboot �� f8 ������� Safe Mode
2. �������� Safe Mode ������
- ��ԡ��ҷ�� My Computer > Properties > �� System Restore > ���͡ Turn off System Restore on all drives > OK
3. ��ԡ��ҷ�� Task Bar > Task Manager (���� Ctrl+Alt+Del) > �� Processes �ҵ�Ƿ����� Flashy.exe ��� systemID.pif > End Process (�óն�ҵ�Ǩ��.)
4. �Դ Notepad ���ǡ�ͺ����ͤ�����ҹ��ҧ��ҧ save ���� killfrashy.bat
--------------------------------------------------------
@ECHO OFF 2.
REG delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Flashy Bot /f
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 2
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v HideFileExt /t REG_DWORD /d 0
REG add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess /v Start /t REG_DWORD /d 2
--------------------------------------------------------
�����૿�������� ���Ѻ���Ť�ԡ������ killfrashy.bat �������¡������ѧ����Ƿӧҹ
5. 价�� Start Menu\ All Programs\Startup �� systemID.pif ����ź��� (��ԡ��� > Delete) 价�� C:\WINDOWS\system �� Flashy.exe ����ź���
6. ����鹵͹��áӨѴ Flashy.exe > Restart ����ͧ
�������
��ͧ��������� regedit ����
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\"Start" = "4"
�� Ctrl+Alt+Delete �������͡��ԡFlashy.exe ���Ǥ�ԡ End Process �ç��������ҧ��Ѻ
���ǵ͹����ѹ����ش��÷ӧҹ���Ǥ�Ѻ ������ҵ�ͧ���regedit ���ѧ������������������ѹ�Դ�����ҡ��ͧ���ͧUnhookexec.inf �������Ф�Ѻ �Ŵ��ͤ�ѹ��͹ ��Ŵ��ҡ��駹���Ѻ
http://securityresponse.symantec.com/avcenter/UnHookExec.inf
�������Ŵ�����ǡ��ԡ��� �������͡ Install��Ѻ
���� 价�� Start--->Run ����� regedit��������ź����������Ѻ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ ��ҹ������ --------> NoFolderOptions
źNoFolderOptions �͡��¤�Ѻ ������ѹ���ҧ����Ҥ�Ѻ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ ��ҹ������ --------> HideFileExt
ź HideFileExt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess ��ҹ������ -------->Start
ź Start
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ��ҹ������ --------> Flashy.exe
ź Flashy.exe �͡��Ѻ
3.
�����ź systemID.pif ���Start Menu\Programs\Startup\ systemID.pif
ź systemID.pif �͡��¤�Ѻ
价�� Start--->Run ����� msconfig 价��ᶺ startup ���͡��꡶١˹��systemID �͡��Ѻ
������ʵ�������ͧ�����ͧ�� Ctrl+Alt+Delete �٤�Ѻ���Flashy.exe�ѧ������㹹����� ����ա����稤�Ѻ
������ҡ��ͧ����������ѹ���ҧ���������ҷ�������Ҩ��Դ����ͧ��ͧ������ʷء����
���ͧ���仴�� User accounts ������������������ Remove ���ʼ�ҹ��µ͹�����ѧ����������͡������Ѻ ������������ͧ������ʷء�������Ѻ �¡��
��� Run ����� regedit ����仵������Ѻ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
��ʵ�ԧ����������Ѻ�ҡ����ա��ԡ������͡ New-->String value
�������Ѻ
"AutoAdminLogon"="1"
"DefaultUserName"="���ͼ�����Ѻ"
"DefaultPassword"hacked"
��ѧ�ҡ�ӵ����鹵͹���������������ź�������ʪ���Flashy.exe � C:\WINDOWS\system32 ��ͧ�Դ Show hidden File ��͹�Ф�Ѻ�֧����� ��������ʵ�ǹ���ѹ��͹����
����Ѻ����ʷ��������ι������Ф�Ѻ �����ҡ�ͻ�ҹ�͡�����ǡ� Format��¤�Ѻ �ҡ�������������������������駢�ҧ��ҧ���������¤�Ѻ �ҡ��ҹ��������ʨҡ�ι������仵Դ�������ͧ�������㨹�����ѹ�Ф�����¾ѹ������ �����Ͷ��������令�ԡ���������� ���Դ����ѹ���Դ����ͧ�Ф�Ѻ �ͧ���Сѹ��Ѻ
�����Ŵ��Ǫ���format flashdrive�Ф�Ѻ
www.unlimitpc.com/article/flashdrive/SP27213.exe
J_Saisamorn
����ùѡ�֡�� ����෤��������ʹ��
����Է�����෤������Ҫ�������ҹ �Է��ࢵʡŹ�� |
|