sleepmage的偽機研

標題下的有點誇張，其實都是病發當初我沒認真理會防毒程式，所以
上個週末開始，網頁開啟不完全，甚至要重新整理多次瀏覽器才有回
應，我才認真重視這個問題。

人阿......

瀏覽器這個問題不是第一次發生，但是之前不藥而癒。這次可糟糕了
，你能想像連開Google首頁都要重新整理十來次才有回應，下一頁
可能也要點選好幾次...我想我的指關節會提前報廢吧！

一開始是往封包遺失的可能性去想，但經過ping、trace都找不到可
疑之處，而且BBS完全沒影響...Orz，開始往病毒方向去找。

大約是從三月開始，小紅傘(Antivir，免費防毒軟體)都會攔截到某些
熟面孔檔案，即使每次都選delete，隔天還是換個名字出現，於是先
查詢防毒程式的Event紀錄。

大部分都屬於惡意程式；木馬、蠕蟲(Worm)、後門程式(Hacktool)
為主，戰到後來，連Bot(?)、Autorun(?)這兩種都冒出來，真正是
讓人火大。

中間經過進入安全模式掃毒、監控工作管理員的可疑處理程序、上網
搜尋可疑檔名的資料，電腦中毒情況暫時好轉半天....然後冒出更多的
可疑程序！

直接講結果吧。一樣是從小紅傘的Event查起，發現每次出現的目錄
夾是固定那幾個：Temp、Temporary Internet Files、System、
System32，說來慚愧，去年秋天重灌後我根本沒整理過暫存檔案，
暫存檔累積很多，就趁這個機會來整頓一下！

1.假螢幕保護程式：檔名是XX.scr，XX請任意代入阿拉伯數字，每個
   都是80kb，我進去System目錄的時候，大概有二十來個假裝天真
   SCR檔案排成一列(怒)，第一次砍除後又重生。

2.假驅動程式：sysdrv32.sys...，砍除多次後最後消失

3.假應用程式：一開始叫做msmacro32，而且會出現在處理程序中，
   後來它自己改名叫msmacro64，檔案搜尋直接找到它的位置砍除。

4.假文字檔：檔名是x[5].txt，數字5可以任意替換，跟scr一起出現，
   很常被攔截，一進Contient.IE5目錄，原來好幾家族兄弟阿！我把
   整個暫存目錄通通砍除，砍不掉的進安全模式砍。

5.偷天換日：dllcache.exe，作業系統真的有這個程式，但是屢次被
   攔截，看來是被感染，砍除數次後消失。

6.不知道該怎麼辦的：svchost.exe，重要的系統應用程式，但是被
   防毒程式判斷有"嫌疑"，目前沒有發作，列為觀察對象。

總之光靠防毒程式去判斷攔截，能力有限，找出源頭砍除才能根治，
還有良好的上網習慣也很重要。對了，如果我又好幾天沒發文，大概
就是又中毒了...XD