跳到主要內容

【隨手記】討厭的惡意病毒

從關鍵字統計看起來,昨天的來源除了E61和沙巴遊記外,最多的就是中了首頁綁架的病毒,而且多數都是被強迫到updatestate.com這個網站,我試著透過who is去查,查不到什麼資料,但肯定是惡意病毒。

我裝的防毒軟體是pc-cillin 2004,雖然可以抓得到TROJ_PURITY.R和TROJ_DLOADER.FSQ這兩支檔案,不過,不斷跳出的對話泡泡和IE首頁被綁架卻是無法解決的,於是下載了Spybot - Search & Destroy這個抓間諜及廣告程式的軟體,掃過一遍之後,可以抓到兩支AdWare,可以藉由Spybot來解除,除此之外,還有兩支程式,分別是issch.exe和isshost.exe這兩支程式,會不斷的跳出廣告視窗來。

被種下木馬病毒的症狀:

  1. windows系統愈來愈慢。
  2. 右下方的system tray,就是開始工具列最右邊,有顯示時間的地方,不斷的跳出英文對話泡泡要你安裝防毒軟體,並警告使用者電腦中有間諜程式,系統安全性低。
  3. 點下對話泡泡後會開啟IE,跳出來的畫面可能像是www.updatestate.com或是某些防毒軟體的頁面,就算關掉後還是不斷的出現對話泡泡或是突然跳出色情或賭博網站的廣告視窗。
  4. IE的預設首頁變成www.updatestate.com,就算更改系統登錄值或是基本的在視窗工具列中的工具/選項也無法改回來原本的首頁。
  5. 在關掉IE視窗前,你會看到視窗工具列上出現了一條Safety Tool Bar或是叫Safety Bar的工具列,在新增移除程式中可以看到它的蹤影,雖然可以藉由新增移除程式移除,但其實還是黏在那上面移不掉。
如果有以上症狀,那就真的很有可能被攻擊或開後門了。

如何檢查有無被種下木馬病毒?

  1. 除了一些有提供免費線上掃瞄的掃毒軟體服務商,例如Symantec Security CheckTrend Micro House Call進行線上掃毒或安全評估。
  2. 在開始工具列上按滑鼠右鍵,顯示的快速功能選單上選擇[工具管理員]。
  3. 出現Windows工作管理員,點選[處理程序]標籤,看到影像名稱欄位,如果出現像是issch.exe和isshost.exe,剛才我又抓到laptop上有一支locater.exe,這三支算是惡意的木馬病毒,如果有出現這三個檔案的話,嗯,那就恭喜了。
  4. 如果沒有以上三支程式,可以點選另外的[效能]標籤,若是沒有執行什麼大程式,但CPU使用率會突然到達100%,建議也是看看有哪些掃除的程式把這些東西抓出來,例如像是Ad-Aware可以免費下載,如果有安裝Google Pack,裡面也附有Ad-Aware或是單選擇安裝Ad-Aware也是可以的。安裝後記得要Update再掃瞄,不過如有安裝 Spybot的話,Ad-Aware會把它判讀為有問題的程式,在掃瞄後多注意一下即可。

如果手邊有windows原版光碟片,最好的方式是進行格式化重灌系統,之後再也不去逛那些怪怪的網站為佳。

在還未重灌前我是這麼做的:

  1. 重新開機,在還未進入windows系統前先按下鍵盤上的F8按鍵,進入windows安全模式開機,它可能會出現一些選項,建議是不要在網路連線上進行。
  2. 在開始功能表選單裡,按下[執行],輸入regedit,出現登錄編輯程式,按下功能表上的編輯/尋找,分別尋找issch.exeisshost.exe兩支檔案,找到的登錄值全部刪除。這個步驟充滿風險,建議先備份再進行這樣的動作以防萬一。
  3. 在開始功能表選單裡,按下[執行],在對話方塊裡輸入mscofig,出現系統設定公用程式視窗,選擇[啟動]標籤,逐一找尋issch和isshost這兩支程式的執行並將前面的核取方塊取消核取,然後按下[套用],再重新開機,開機後可能會出現一個關於系統公用程式登錄變更的警告視窗,讓它下次不要重覆出現即可。
  4. 有些惡意程式會讓人無法執行regedit指令,有一些網站上有提供教學,關鍵字請搜尋[無法編輯regedit]之類的字串。

不過最後我還是重灌系統了,因為我無法保證除了這兩支惡意程式之外還有無其他的惡意程式在裡面,我甚至打算在睡醒後將的laptop重灌。被種下木馬程式多半也要怪自己要進行一些惡意的舉動,例如找cracker、破解程式,當然也有些人是因為會去逛色情網站或是想找非法的影音檔案下載,而這些惡意程式多半會在瀏覽網頁的同時在你的電腦上開後門,他們的目的無非是要賺取網站廣告的瀏覽及click值,但最壞的就是盜錄你keyin時的記錄或是下載電腦裡的資料,像是剛才抓到的locater.exe就是將被植入的電腦做為FTP,目前是將之停止了,但總是很擔心,雖然我的主系統和使用資料是分開的,但如果要輸入密碼或是進行網路交易時總是心驚膽跳。

當然會有人說這都要怪windows系統寫的不好,漏洞百出,總是讓這些惡意程式透過網路來進行攻擊,如果我能多會操作一套系統,也許我不會選擇windows系統來用,但誰也無法保證會不會有其他針對MAC OS或是Linux或其他系統的漏洞來攻擊,而且,不要去逛那些網頁不就減少很多被開後門的機率了嗎?

讓我感到詭異的是,為什麼我的PC-Cillin對於這樣檔案好像都抓不到呢?就連我到趨勢網站找尋病毒資料,也找不到關於TROJ_PURITY.R和TROJ_DLOADER.FSQ的資料,也找不到關於issch.exe及ishost.exe、locater.exe的資料,真是...不知道該怎麼說。不過我大概看了一下會搜尋這TROJ這兩支病毒的,來自於歐洲和東南亞,台灣本身也不少,不知道這是新型的變種惡意病毒呢?還是說只是剛好這群人被開後門了?被種病毒真是不好的感覺。

因為是用laptop,所以無法以圖片step by step,而且我也不確定那些方法有用,畢竟我還是重灌系統了,唉!

留言

  1. http://www.qqread.com/process-info/h601263016.html

    程式文件: issch or issch.exe
    程式名稱: InstallShield Update Service
    程式類别:應用程式
    英文描述:
    issch.exe is an update service relating to the InstallShield utility which keeps this software up to date. This program is non-essential process to the running of the system, but should not be terminated unless suspected to be causing problems.
    中文参考:
    issch.exe是InstallShield安裝工具的升級服務,用以保持其最新的版本。
    出品者:InstallShield Software Corporation
    屬於:InstallShield

    回覆刪除
  2. 謝謝你提供的訊息。
    嗯...其實說穿了,關於windows的內容我真的不了解,也許是病毒咬著這支程式吧!

    回覆刪除

張貼留言

請勿匿名留言,待審核後才會出現。

這個網誌中的熱門文章

暫時搬到 Medium

網址:https://medium.com/@yinchuchen/
Blogger 用了這麼多年,中間也試著使用 Wordpress。不過最近許多文章到改到 Medium 去了。除了功能更簡潔外,它的分享機制比 Blogger 更好,不用花時間在版型、字距、字型大小等 CSS 設定上,而簡潔的版面也更能專心的長篇大論。
目前 www.yingchu.tw 的網址還是設在 Blogger,但之後可能會付費至 Medium 去。

新加坡 Smart Nation 初探

在陸續的聽了一些關於新加坡 Smart Nation 相關計畫的介紹(研討會、網路新聞)及資料收集後,看看台灣目前的作法,寫下一點點心得。

先自一些線上調查來看,聯合國2014年對193個成員國所做的的電子化政府評比中,新加坡的電子化政務(EGDI)是在前三名,電子參與(EPI)也是前十名;世界經濟論壇今年初所完成的全球資訊科技報告(Global Information Technology 2015)中也提到新加坡的網路就緒指數(Network Readiness Index)在所調查的143個經濟體中排名第一。這些評比成果都顯示新加坡在電子政務上、基礎建設上都相當完善。

新加坡的 Smart Nation 很明確的定義出 Smart Nation 是要解決問題,對象是「人」。他們找出了要解決的問題:人口老化、教育、交通、資源的問題,針對這些問題擬定了要解決的作法,例如為了解決日後人口老化所衍生的健康照護問題,他們建造智慧住宅,對住戶的生活習慣收集資訊、分析日常行為,如果有一些行為是反常的,可能就會進一步的通知或實地查訪。對於某些人來說可能會覺得隱私被侵犯,但這是最有可能解決獨居老人發生意外而無人及時救援的方案之一。

觀察創業中朋友們的10個特質

在台灣有不少創業聯誼社群,除了台灣本地官方、民間的各種社群外,也有來自其他國家的創業聯誼社群。在這裡所談的創業聯誼社群,可能是一群有興趣自己開創事業或是正在開創事業的人,透過實際面對面接觸或是利用方便的網路交流機制的團體。活動的型式可能是藉由一個或多個創業者站在台上分享自己的創業經驗,或是透過團體之間的實際互動,會後再透過社群的分享,以延續成員之間的熱度

上星期第一次參與了創業者的聯誼活動,生活裡有些朋友經歷創業的前段,或是已是市場先行者,所以站在局外人的角度來分享我自這些創業中的朋友們所學習到的事,又或說是我所觀察到他們的共同特質: