V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
jqw1992
V2EX  ›  问与答

怎么办 按推上说我已经中木马了

  •  1
     
  •   jqw1992 · 2016-04-16 00:53:48 +08:00 · 5616 次点击
    这是一个创建于 3138 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一直用 ESET
    https://twitter.com/likev/status/720814005040713728
    PS:
    简单判断自己的电脑是否中了 DCM 木马:查看电脑是否存在 C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-9755-65C029E88F02} 这个目录
    38 条回复    2016-04-18 00:40:11 +08:00
    kn007
        1
    kn007  
       2016-04-16 00:55:43 +08:00
    [Window Title]
    文件资源管理器

    [Content]
    Windows 找不到“ C:\WINDOWS\Temp\{E53B9A13-F4C6-4d78-9755-65C029E88F02}”。请检查拼写并重试。

    [确定]
    kn007
        2
    kn007  
       2016-04-16 00:56:02 +08:00
    裸奔很久,没问题。
    kn007
        3
    kn007  
       2016-04-16 00:57:08 +08:00
    WinXP/7/10 ,测试了下都没有,都裸奔, 24 小时不关机。。。
    jqw1992
        4
    jqw1992  
    OP
       2016-04-16 00:57:35 +08:00
    @kn007 不一样要全部一样吧。
    C:\WINDOWS\Temp\{*****}
    我是有两个这样的。
    kn007
        5
    kn007  
       2016-04-16 00:58:28 +08:00
    @jqw1992 没有大括号命名的文件夹。。。都木有,看了。。
    jqw1992
        6
    jqw1992  
    OP
       2016-04-16 00:59:44 +08:00
    @kn007
    ESET 基本上都不用。
    我也差不多裸奔
    Slienc7
        7
    Slienc7  
       2016-04-16 01:05:38 +08:00 via Android
    重装;然后扔了所有国产软件。
    manhere
        8
    manhere  
       2016-04-16 01:06:51 +08:00
    黑暗幽灵?
    VmuTargh
        9
    VmuTargh  
       2016-04-16 01:13:40 +08:00
    家里 XP 表示没有
    anotheruby
        10
    anotheruby  
       2016-04-16 01:15:47 +08:00 via iPhone
    可以共享样本吗
    lzsadam
        11
    lzsadam  
       2016-04-16 01:39:01 +08:00
    没中。
    subpo
        12
    subpo  
       2016-04-16 01:40:17 +08:00
    谁会没有 C:\WINDOWS\Temp\xxxx ?
    TakanashiAzusa
        13
    TakanashiAzusa  
       2016-04-16 01:55:59 +08:00 via Android
    Temp 里 xxx 很正常。。。
    Quaintjade
        14
    Quaintjade  
       2016-04-16 03:09:59 +08:00 via Android
    据说是通过劫持许多软件的自动更新来感染。
    话说都什么年代了,一个软件既不从 https 站点更新,又不对更新包校验签名,这不等于是欢迎劫持嘛。

    @TakanashiAzusa
    这应该是 GUID ,如果相同的话那基本可以确定是同一个程序留下的。
    inisun
        15
    inisun  
       2016-04-16 03:30:31 +08:00
    楼主是不是有些什么特殊背景...这马针对的不是一般的人啊,部分人说是国家队的产物呢...
    emric
        16
    emric  
       2016-04-16 05:27:37 +08:00
    我觉得和路由固件有很大关系。
    wyfyw
        17
    wyfyw  
       2016-04-16 05:59:45 +08:00   ❤️ 2
    为毛我看到麦咖啡很早就探测到了这些东西。 http://home.mcafee.com/virusinfo/virusprofile.aspx?key=2236045#none
    wyfyw
        18
    wyfyw  
       2016-04-16 06:03:33 +08:00
    麦咖啡在 2013/3/10 就 post 了这个,也提到了 drive.v 这个文件。我看到这里一样的文章 http://drops.wooyun.org/tips/14911 怎么发帖者叫腾讯电脑管家。。。
    Tink
        19
    Tink  
       2016-04-16 07:53:30 +08:00
    @subpo 这个好像必须符合后面这样大括号的文件夹,我的 TEMP 目录下没这种的
    alexyangjie
        20
    alexyangjie  
       2016-04-16 07:55:19 +08:00   ❤️ 2
    黑暗幽灵,此木马不为劫财,只为监控,通过 http 劫持感染,专门针对大陆网民。不说了。看来以后在内地上网要全局 ss 或 vpn 了。
    RobertYang
        21
    RobertYang  
       2016-04-16 07:59:02 +08:00 via Android
    @inisun 昨天有人提到有个地区的 LOL 更新,然后都有了。不知道真伪
    jqw1992
        22
    jqw1992  
    OP
       2016-04-16 08:09:59 +08:00
    cnnblike
        23
    cnnblike  
       2016-04-16 08:40:46 +08:00
    手机上看到这条,还白白兴奋了好久,结果回家一看,没中。。。。好失落啊
    old9
        24
    old9  
       2016-04-16 08:49:33 +08:00 via Android
    @jqw1992 手法精彩
    jqw1992
        25
    jqw1992  
    OP
       2016-04-16 08:49:53 +08:00
    salary123
        26
    salary123  
       2016-04-16 10:34:11 +08:00
    特地翻了一下大括号文件,,没看到有..楼主怎么中的..好知会一下
    asher
        27
    asher  
       2016-04-16 10:38:14 +08:00
    {AC4F5098-9028-44E5-8215-95029AB25115} 有这个算吗?
    shippo7
        28
    shippo7  
       2016-04-16 12:30:01 +08:00
    仔细看了看文章,的确有些地方奇怪。如 18 楼所说这个木马 2013 年就被 McAfee 发现,而且 McAfee 报告中写了其它知名杀软也早就发现了它。

    提权方面木马用了一个 2011 年就出了补丁的 CVE-2011-1249 ,到现在只能影响没打补丁的 Win XP - Win 7 系统了,说明此木马是很久以前的。

    现在又被拿出来写文章,有什么意义呢,似乎只是个普通的远程监控类木马,例如灰鸽子
    Chinternet
        29
    Chinternet  
       2016-04-16 12:48:21 +08:00
    没中。。。。好失落啊
    DcmTeamMember
        30
    DcmTeamMember  
       2016-04-16 18:28:13 +08:00
    楼主肯定不是一般人,因为: https://www.v2ex.com/t/271590
    jerryjhou
        31
    jerryjhou  
       2016-04-16 18:55:46 +08:00
    @DcmTeamMember 排除阴谋论嫌疑不说, Gov 的监控对象很可能只是"潜在威胁"(比如经常上推查 CCP 的黑历史的)
    jqw1992
        32
    jqw1992  
    OP
       2016-04-16 20:01:12 +08:00
    @salary123 我也不知道怎么就中了

    @asher 应该是的吧。我个人觉得。

    @DcmTeamMember 一般人啊。真的。
    xmh51
        33
    xmh51  
       2016-04-16 23:22:13 +08:00
    @shippo7 McAfee 报告 的功能比较少啊,威胁等级还是低好奇怪,( Attempts to launch an instance of the Windows file system explorer.)而腾讯说能干那么多事,两个真是同一个病毒?或者是升级版?
    KexyBiscuit
        34
    KexyBiscuit  
       2016-04-17 10:49:30 +08:00 via Android
    GUID 相同才能判断是同一个程序。

    另外明明有很多特征可以判断是否感染,非要看临时文件目录……
    dsb2468
        35
    dsb2468  
       2016-04-17 22:36:28 +08:00
    @xmh51 江民居然早 4 年就发报告了: http://bbs.kafan.cn/thread-1354867-1-1.html
    dsb2468
        36
    dsb2468  
       2016-04-17 22:44:17 +08:00
    @shippo7 报告上来看,功能似乎一直在升级改进。 http://bbs.kafan.cn/thread-1354867-1-1.html 例如这个,同一个文件(名称),但是功能上来看,之前的并没有加白名单的操作。
    dsb2468
        37
    dsb2468  
       2016-04-17 22:53:53 +08:00
    @shippo7 通过 劫持网络 来达到目的。 劫 持 网 络
    dsb2468
        38
    dsb2468  
       2016-04-18 00:40:11 +08:00 via iPhone
    @xmh51 迈克菲的报告是自动机出的。。不是人工。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5581 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 05:54 · PVG 13:54 · LAX 21:54 · JFK 00:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.