[心得] 最近出現,會破壞數位簽章的病毒。
1.樣本下載:
http://www.avpclub.ddns.info/discuz/viewthread.php?tid=45853
2.動作:
http://ppt.cc/BO1-
3.中毒情況:
(1)有些防毒軟體會因為自保而打不開(comodo就是)。
(2)右鍵查看一些正常EXE,會發現 數位簽章不見了。
(3)使用sigverif檢查系統EXE檔的數位簽章,會失效。
4.防禦方法:
如下圖,在HIPS規則中,把下面這個 加入受保護的登錄檔機碼。 (comodo默認沒有)
*\Software\Microsoft\Cryptography\*
http://i.imgur.com/GfkXL8h.png
5.解決方法:
開始 --> 執行 --> 輸入
regsvr32.exe "C:\WINDOWS\system32\wintrust.dll"
換句話說,就是重新註冊 wintrust.dll 這個DLL檔。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.121.221.134
推
02/23 13:49, , 1F
02/23 13:49, 1F
推
03/06 21:37, , 2F
03/06 21:37, 2F