目前手頭收集到三個樣本…會採樣的原因是三者的症狀(registry操作行為)彼此間都存在著些微差異…
以MD5算出各自的hash code顯示三者的確存有差異…列出如下:
(冒號後的名稱來自Avast!,紅雨傘AntiVir一律叫做[HEUR-DBLEXT/Crypted])
3c31ccd905433ed7fcd294d92c69d3cc Ghost.pif(9/7):[UPX]Embedded#52f0[UPX]
a8e04638df3b4a8e6ec5c538bfa62e5c Ghost.pif(9/10):[UPX]Embedded#4ef0[UPX]
bd962fd41221368bc4a494a244cc160b Ghost.pif(9/11):[Upack]Embedded#DATAINFO[Upack]
a8e04638df3b4a8e6ec5c538bfa62e5c Ghost.pif(9/10):[UPX]Embedded#4ef0[UPX]
bd962fd41221368bc4a494a244cc160b Ghost.pif(9/11):[Upack]Embedded#DATAINFO[Upack]
公司的超強OfficeScan+病毒碼713已經可以抓到前兩個(看來丟樣本還是有用的)
明天本大人打算用最新發現的樣本來分析…並且把解法寫成手冊寄給全處同仁…
農曆七月雖然過了…一樣還是要發佛心的啦…雖然可預期多數人依然會把我的mail當屁…
總是可以收一點亡羊補牢之效啦…罪過罪過╮(╯_╰)╭
—
屆時再把手冊分享上來…筆電沒回家,今天不爆肝…可喜可樂啊 😉
林老師的卡好Blog 
頭香??
你好
因為我電腦用紅雨傘掃到 HEUR-DBLEXT/Crypted
每過30秒就會出現依次視窗
請問要怎麼可以殺掉??
請交交我好嗎?!!!
謝謝你
我有寫一份手冊…就在本文的下一篇:http://sspiggy.spaces.live.com/blog/cns!7A2A823C97248D1E!233.entry
請參考我寫的內容然後判斷症狀是否相符,如果是的話照著裡面的步驟就可以根治了 😀