這幾天幫忙解毒遇到一個很有趣的 case
有台 NB (Win2000) 每次開機以後 hosts ( C:\winnt\system32\drivers\etc\hosts )檔都會被刪除,用趨勢的 tsc 掃毒掃掉了 WORM_RBOT.MQ,但是每次重開機 hosts 檔被砍掉的狀況依然,百思不得其解之際收集了系統資訊給我們的 TSP 支援廠商作分析,後來廠商請我給他們可疑的六個檔案作分析,於是我就拿著隨身碟去收集檔案啦
六個檔案中有五個我順利copy好了,可是有一個檔案 winslogin.exe 很神奇,用檔案總管 copy&paste 或 dos 模式用 copy 都好像順利有 copy 成功(沒有任何錯誤訊息,copy還有 1 file copied 的訊息),但是在隨身碟就是沒看到檔案出現?這真的是很神奇,而且這個程式在執行中又沒辦法用工作管理員結束處理程序,後來我想說,那壓縮起來試試,結果winzip壓縮完只產生一個空檔案,還是不行,換用winrar才終於順利壓縮好,拿回自己電腦一開...啊,被 OfficeScan 判定為 WORM.AGOBOT.AQS
到此我終於想到發生了什麼事情,去查 ServerProtect 管理主控台才看到原來剛剛檔案複製以後沒出現都是 ServerProtect 清除病毒失敗隔離了~真是敗給它,隔離檔案那台NB也不顯示任何訊息誰知道啊簡直是莫名其妙=.= 再接著查下去,原來每次開機 hosts 檔不見也是因為被病毒寫入以後被判為 DOS_AGOBOT.GEN 而被隔離了,真是有夠搞笑的啦~
不過其他五個檔案好像還有疑似有問題的,這台 NB 的問題可能還沒完全解決...
