2015年1月27日 星期二

XTab新型惡意瀏覽器插件病毒手法紀錄


可惡...本來只是想下載一個國外的殼破解版,結果又中菜花了T___T
我覺得這樣下去總有一天我會中過每種毒然後都解過一次毒XD

XTab新形態的惡意瀏覽器病毒會做的事情:

  • 會安裝一個叫做XTab的安裝包
  • 啟動一個叫做Au__.exe的東西一直檢測各種瀏覽器首頁有沒有被流氓綁架
    (如果沒被綁架 它會幫你在綁架一次)
  • 接著又是老梗的在各個瀏覽器上安裝流覽器插件
  • 設定你的瀏覽器啟動參數額外增加綁架網址
  • 設定你的瀏覽器啟動首頁成綁架網址
  • 你的windows的程式集內的瀏覽器的路徑也會被下綁架網址
  • 你的桌面上如果有瀏覽器的捷徑也會被下綁架網址
  • 你的工作列上如果有對程式"釘選"(固定程式ICON在工作列上)被下綁架網址
  • 會在XTab資料夾內找到三個DLL...用DLL Injection方式注入到explorer.exe
    (你剛中毒的時候會發現資料夾管理員會崩潰一次就是這個原因,可能病毒作者沒寫好導致的,有夠蔡逼巴...雷....)

大致上提一下解毒方法:
  • 把所有流覽器從工作列上"釘選"給取消
  • 工作管理員打開,找到公司名稱是"XTab"的,通通強制關閉並且刪除/反安裝
  • 到開始->程式集->找到你的瀏覽器,右鍵內容把後面的網址全部刪掉
  • 開啟工作管理員把explorer.exe給強制關閉,然後刪掉XTab下三個DLL.
  • 最後,去瀏覽器把首頁/開啟頁面之類設定通通改回來
最近的病毒真的是花招越來越多惹T___T