跳到主要內容

【隨手記】討厭的惡意病毒

從關鍵字統計看起來,昨天的來源除了E61和沙巴遊記外,最多的就是中了首頁綁架的病毒,而且多數都是被強迫到updatestate.com這個網站,我試著透過who is去查,查不到什麼資料,但肯定是惡意病毒。

我裝的防毒軟體是pc-cillin 2004,雖然可以抓得到TROJ_PURITY.R和TROJ_DLOADER.FSQ這兩支檔案,不過,不斷跳出的對話泡泡和IE首頁被綁架卻是無法解決的,於是下載了Spybot - Search & Destroy這個抓間諜及廣告程式的軟體,掃過一遍之後,可以抓到兩支AdWare,可以藉由Spybot來解除,除此之外,還有兩支程式,分別是issch.exe和isshost.exe這兩支程式,會不斷的跳出廣告視窗來。

被種下木馬病毒的症狀:

  1. windows系統愈來愈慢。
  2. 右下方的system tray,就是開始工具列最右邊,有顯示時間的地方,不斷的跳出英文對話泡泡要你安裝防毒軟體,並警告使用者電腦中有間諜程式,系統安全性低。
  3. 點下對話泡泡後會開啟IE,跳出來的畫面可能像是www.updatestate.com或是某些防毒軟體的頁面,就算關掉後還是不斷的出現對話泡泡或是突然跳出色情或賭博網站的廣告視窗。
  4. IE的預設首頁變成www.updatestate.com,就算更改系統登錄值或是基本的在視窗工具列中的工具/選項也無法改回來原本的首頁。
  5. 在關掉IE視窗前,你會看到視窗工具列上出現了一條Safety Tool Bar或是叫Safety Bar的工具列,在新增移除程式中可以看到它的蹤影,雖然可以藉由新增移除程式移除,但其實還是黏在那上面移不掉。
如果有以上症狀,那就真的很有可能被攻擊或開後門了。

如何檢查有無被種下木馬病毒?

  1. 除了一些有提供免費線上掃瞄的掃毒軟體服務商,例如Symantec Security CheckTrend Micro House Call進行線上掃毒或安全評估。
  2. 在開始工具列上按滑鼠右鍵,顯示的快速功能選單上選擇[工具管理員]。
  3. 出現Windows工作管理員,點選[處理程序]標籤,看到影像名稱欄位,如果出現像是issch.exe和isshost.exe,剛才我又抓到laptop上有一支locater.exe,這三支算是惡意的木馬病毒,如果有出現這三個檔案的話,嗯,那就恭喜了。
  4. 如果沒有以上三支程式,可以點選另外的[效能]標籤,若是沒有執行什麼大程式,但CPU使用率會突然到達100%,建議也是看看有哪些掃除的程式把這些東西抓出來,例如像是Ad-Aware可以免費下載,如果有安裝Google Pack,裡面也附有Ad-Aware或是單選擇安裝Ad-Aware也是可以的。安裝後記得要Update再掃瞄,不過如有安裝 Spybot的話,Ad-Aware會把它判讀為有問題的程式,在掃瞄後多注意一下即可。

如果手邊有windows原版光碟片,最好的方式是進行格式化重灌系統,之後再也不去逛那些怪怪的網站為佳。

在還未重灌前我是這麼做的:

  1. 重新開機,在還未進入windows系統前先按下鍵盤上的F8按鍵,進入windows安全模式開機,它可能會出現一些選項,建議是不要在網路連線上進行。
  2. 在開始功能表選單裡,按下[執行],輸入regedit,出現登錄編輯程式,按下功能表上的編輯/尋找,分別尋找issch.exeisshost.exe兩支檔案,找到的登錄值全部刪除。這個步驟充滿風險,建議先備份再進行這樣的動作以防萬一。
  3. 在開始功能表選單裡,按下[執行],在對話方塊裡輸入mscofig,出現系統設定公用程式視窗,選擇[啟動]標籤,逐一找尋issch和isshost這兩支程式的執行並將前面的核取方塊取消核取,然後按下[套用],再重新開機,開機後可能會出現一個關於系統公用程式登錄變更的警告視窗,讓它下次不要重覆出現即可。
  4. 有些惡意程式會讓人無法執行regedit指令,有一些網站上有提供教學,關鍵字請搜尋[無法編輯regedit]之類的字串。

不過最後我還是重灌系統了,因為我無法保證除了這兩支惡意程式之外還有無其他的惡意程式在裡面,我甚至打算在睡醒後將的laptop重灌。被種下木馬程式多半也要怪自己要進行一些惡意的舉動,例如找cracker、破解程式,當然也有些人是因為會去逛色情網站或是想找非法的影音檔案下載,而這些惡意程式多半會在瀏覽網頁的同時在你的電腦上開後門,他們的目的無非是要賺取網站廣告的瀏覽及click值,但最壞的就是盜錄你keyin時的記錄或是下載電腦裡的資料,像是剛才抓到的locater.exe就是將被植入的電腦做為FTP,目前是將之停止了,但總是很擔心,雖然我的主系統和使用資料是分開的,但如果要輸入密碼或是進行網路交易時總是心驚膽跳。

當然會有人說這都要怪windows系統寫的不好,漏洞百出,總是讓這些惡意程式透過網路來進行攻擊,如果我能多會操作一套系統,也許我不會選擇windows系統來用,但誰也無法保證會不會有其他針對MAC OS或是Linux或其他系統的漏洞來攻擊,而且,不要去逛那些網頁不就減少很多被開後門的機率了嗎?

讓我感到詭異的是,為什麼我的PC-Cillin對於這樣檔案好像都抓不到呢?就連我到趨勢網站找尋病毒資料,也找不到關於TROJ_PURITY.R和TROJ_DLOADER.FSQ的資料,也找不到關於issch.exe及ishost.exe、locater.exe的資料,真是...不知道該怎麼說。不過我大概看了一下會搜尋這TROJ這兩支病毒的,來自於歐洲和東南亞,台灣本身也不少,不知道這是新型的變種惡意病毒呢?還是說只是剛好這群人被開後門了?被種病毒真是不好的感覺。

因為是用laptop,所以無法以圖片step by step,而且我也不確定那些方法有用,畢竟我還是重灌系統了,唉!

留言

  1. http://www.qqread.com/process-info/h601263016.html

    程式文件: issch or issch.exe
    程式名稱: InstallShield Update Service
    程式類别:應用程式
    英文描述:
    issch.exe is an update service relating to the InstallShield utility which keeps this software up to date. This program is non-essential process to the running of the system, but should not be terminated unless suspected to be causing problems.
    中文参考:
    issch.exe是InstallShield安裝工具的升級服務,用以保持其最新的版本。
    出品者:InstallShield Software Corporation
    屬於:InstallShield

    回覆刪除
  2. 謝謝你提供的訊息。
    嗯...其實說穿了,關於windows的內容我真的不了解,也許是病毒咬著這支程式吧!

    回覆刪除

張貼留言

請勿匿名留言,待審核後才會出現。

這個網誌中的熱門文章

智慧城市不是只有得獎、入圍而已及參觀智慧城市展感想

之前參與了第8次的火箭聊天室,講者Roy Lin提到了:「當大家在提到『智慧城市』四個字時,想到的多半是:智慧停車、智慧燈柱、智慧巴士...等項目,多是以科技發展的角度,卻沒有自設計師的立場出發,也沒有人想過是要以『智慧』的方式來處理城市生活裡所面臨的各種問題。」不斷反思這段話。

智慧城市不止是在談解決方案,更在談系統整合
打造智慧城市並不是談如何拿到ICF(Intelligent Community Forum)的智慧城市評比,更不是拿裡面的評量標準拿來當作是施政的KPI,若要讓居住於其中的市民有感,應該要先找出都市中需要被解決的問題,例如利用政府開放資料找出都市中的閒置空間,實際去探訪這些閒置空間的規劃是被作為停車場、公園或乾脆荒廢的一塊地,又或是透過資料視覺化來顯示城市的脈動,藉此可以在未來進行商圈規劃或是都市更新發展等。有些國家如新加坡便是與日本合作智慧節能系統,鼓勵國內的新創研發,投資海外的創新研發,並應用在國家發展中,以期讓人民的生活更便利。

感受大數據的威力

小時候和家人外出,學會如何看地圖找方向。在爸爸的腦海裡有一個自動導航系統,當高速公路塞車時,他會從最近出口離開高速公路,找到其他的替代道路,帶我們到達目的地,減少塞車時所受的痛苦。 爸爸教我的一句話:路是長在嘴巴上的,不知道路時,就下車問店家,如檳榔攤、小吃店。 之後出現了車用衛星導航軟體,在車上架個小型面板或機器,設定好目的地後,導航軟體會規劃路線,帶用路人到達目的地。初期最常出現的社會是:車子開入田中、掉入水溝中、開入窄巷或市場、夜市中進退兩難。 有了這些車用導航後,駕駛人都十分依賴它,也不曾再看人下車問路了,但我也沒看過哪個駕駛像爸爸一樣,只要方向沒錯,就可以透過省道、縣道帶我們回家。

也是習慣旁觀他人之痛苦

在參與幾堂NII台權會所辦理的的網路治理課程裡,總是不時被提醒: 在網際網路的世界裡,永遠是WINNER TAKES ALL. 只要有第一家服務出現,就別想當第二,因為不會有第二。

當Dropbox出現後,有提供 30GB免費服務的 COPY,最後出現了Google Drive(不談台灣的Hinet什麼的)。最後,COPY的服務收掉了,Dropbox雖然最初是由病毒行銷打下市場,但近期除了資安問題一直出包外,它也不再是當初的獨角獸。我甚至覺得Google、Amazon會在家用市場開戰,勝利者就可能的雲端儲存會把整個市場吃掉。

也許有不少人聽過Hotmail,這也是曾經紅極一時的郵件服務,剛開始申請時還有10MB的郵件空間,也是透過病毒行銷的方式拓展使用者市場,但當Google Mail(現在的gmail)出現,Hotmail服務也消失了,日後是否還有郵件服務,可能還未確定。