電腦中的AIDS,W32.GaoBot Virus

[Omar Lin]

請各位網友務必對於此訊息加以重視,電腦中的AIDS,W32.GaoBot Virus,

W32.GaoBot Virus 相關資訊:

http://securityresponse1.symantec.co...aobot.gen.html

除了上頁網頁內容指出的可能發生狀況外還有常駐功能全部會被關上.


根據Elnino指出,此Virus已經流行一段時間,但是目前各防毒軟體公司仍無法有效掃瞄或是去除這個Virus,雖然他們有提出相關的Virus移除工具,但是仍是無法有效清除Virus.
Elnini指出,他所使用過的方式非常多,包括在純DOS環境下殺Virus,甚至封住了40%以上的port以及有ghost的方式還原系統,甚至是清掉系統都還是不行,這隻Virus感覺上有AI的味道,它可以比你還要快的自己幫你先open port,然後它會封殺你所有有關antivirus公司的Web.這隻病毒是中了你也不知道,必須要透過手動去有關的folder找(C:\Windows\System32\Drivers\etc 內的檔案,用Notepad開啟檔案,

如果在127.0.0.1 localhost 下有東西出現的話，那一定中了毒

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs

這隻病毒感染的是:
e-mail,ftp,web server,domain host

至於PHP這隻病毒對它無效,所以可以放心來論壇.

還有Elnino也提醒各位,大陸網站163.com是很有問題的,因為他朋友告訴過他這站的ftp或web server的防火牆是偵測不到w32.gaobot這病毒的,很多人用來做網頁後才出現中毒,如果論壇內有用這個網站作分享的話，也請他本人多加留意，免得害己害人.

這病毒的發作周期會在5月2日及5月7日.

By 怡紅公子
感謝Elnino兄提供所有資訊~

[max0551]

多謝怡紅大的指點,問一下:看到你文章所說,連ghost都不行的話,

那把整個c槽format,然後全部重灌這樣可以殺掉嗎??

[Omar Lin]

引用:

原文由 max0551 所發表
多謝怡紅大的指點,問一下:看到你文章所說,連ghost都不行的話,

那把整個c槽format,然後全部重灌這樣可以殺掉嗎??

這個小弟也問過他本人,他說沒有辦法,他目前還在找到底可能問題在哪裡,關係這樣清掉都無法解決也令他十分驚訝,他對此病毒解決方式也尚無辦法,他說他必須先找出病源!!

[涼子迷]

不能GHOST阿???這麼猛~
那重灌可是會哭死耶~

[max0551]

引用:

原文由 涼子迷 所發表
不能GHOST阿???這麼猛~
那重灌可是會哭死耶~

涼董,看清楚喔,重灌都解決不了的喔.................

[飄]

兩位版大的問題小弟附帶一題題外話：

最近上網有裝PC-CILLIN 2004版的版友應該會發現常常攔截的到這隻病毒
請記得先刪除掉不要留在系統ㄉ角落...最好大家將整個乾淨的WINDOWS目錄COPY到別的地方（最好不要是硬碟ㄉ其他部分）一旦發現病毒除了直接刪除中毒檔案外如果要FORMAT的話，請不要用快速指令，好好用FORMAT （磁碟機代號）即可。

由於FOTMAT指令曾在早期用來清除磁片上的中毒檔案是最唯一有用的，但是在硬碟中清除就不一定囉.... 如果真要更徹底的話，請將HDD重新重置即可（FDISK指令），給您參考看看。

[max0551]

引用:

原文由 飄 所發表
兩位版大的問題小弟附帶一題題外話：
由於FOTMAT指令曾在早期用來清除磁片上的眾讀檔案室最唯一有用的，但是在硬碟中清除就不一定囉....早期ㄉ還完全ㄉ唷 如果真要更徹底的話，請將
HDD重新重置即可，給您篩考看看。

你是說重新作fdisk嗎?

[crd1871]

引用:

原文由 飄 所發表
兩位版大的問題小弟附帶一題題外話：

最近上網有裝PC-CILLIN 2004版的版友應該會發現常常攔截的到這隻病毒
請記得先刪除掉不要留在系統ㄉ角落...最好大家將整個乾淨的WINDOWS目錄COPY到別的地方（最好不要是硬碟ㄉ其他部分）一旦發現病毒除了直接刪除中毒檔案外如果要FORMAT的話，請不要用快速指令，好好用FORMAT （磁碟機代號）即可。

由於FOTMAT指令曾在早期用來清除磁片上的眾讀檔案室最唯一有用的，但是在硬碟中清除就不一定囉....早期ㄉ還完全ㄉ唷 如果真要更徹底的話，請將
HDD重新重置即可，給您篩考看看。

謝謝大大的告知

[飄]

引用:

原文由 max0551 所發表
你是說重新作fdisk嗎?

加菲大大....是ㄉ....不過這僅於你用FORMAT都不行時最後一招的方法了，但是一定有用.....只是不會用的人也比較多些....>"< 因為有些病毒會將自己『分割在很多部分』要是FORMAT沒剛好完全砍到的話...會有機會讓該病毒還原.....

而FDISK使用過後由於將HDD分割表重新做過，所以病毒也絕不可能有生存的機會，就像你把房子打掉重建的道理是一樣的...而FORMAT可以以此比喻為房屋整修的道理
。相信大家會明白前後相差的差別有多大...不過由於FDISK都是在純DOS模式下在執行運作，所以請想這麼做卻不熟的大大先溫習一下DOS指令的用途與方法...以免到時ENTER按下去可就沒有垃圾桶可以補救ㄉ喔（因為是完全刪除了....）

[max0551]

引用:

原文由 飄 所發表
兩位版大的問題小弟附帶一題題外話：
由於FOTMAT指令曾在早期用來清除磁片上的中毒檔案是最唯一有用的，但是在硬碟中清除就不一定囉.... 如果真要更徹底的話，請將HDD重新重置即可（FDISK指令），給您參考看看。

您說的固然不錯,但是有些病毒是會鑽到所謂[開機磁區]去的,我不曉得這隻是不

是這樣,鑽進去的話,任憑你作多少次的FDISK和FORMAT都是沒有用的...........

[飄]

引用:

原文由 max0551 所發表
您說的固然不錯,但是有些病毒是會鑽到所謂[開機磁區]去的,我不曉得這隻是不

是這樣,鑽進去的話,任憑你作多少次的FDISK和FORMAT都是沒有用的...........

加菲大大說的是....您所說的應該最有名就是當初最早的C-BRAIN（大腦病毒）就藏在開機磁區的例子，如果您手邊還有一個古董的工具的程式的話（PCTOOLS V.4.21）那我相信您應該會很好用......^_^因為開機磁區的病毒可以把他程式的頭改成FF而不要改成00比較好...DEBUG指令其實也可以查詢修改.....只是花的時間要很多而且您不可以改錯...不然就不能開機了....Q_Q 其實大家可以把啟動磁區不一定都要設在C....這樣其實問題也少一半多...^_^系統沒有人能說它是100％安全的
遇到病毒只好用最原始的方法解最有用....只是還有多少人會而已.....

PS:附帶一題....如有大大需要瞭解FDISK指令用途與說明使用的話，請可以到史萊姆的第一個家的『教學文件』區裡看看，...有 JAR 大大 與 LMI 大大 有將方法解說詳細說明用法供給想要的大家參考.....另外有一套SPFDISK是一套分割很好用的東西....但是會用SPFDISK的大大不見得會用DOS系統指令的FDISK指令，所以建議大家以FDISK指令最為分割HDD的基礎入門....弄懂就很簡單容易囉（任何的DOS都一定有FDISK『指令』但是SPFDISK可就不能以此這麼方便又實際了）

[Omar Lin]

我想Fdisk是可以解決的,但是......唉~~
總不能三天一次Fdisk吧...,現在的病毒真的是...=.=

[menkin]

真害~~我都在163跑來跑去@@"

[GaMNiA]

先用乾淨的Win98開機片開機, 執行 FDISK /MBR
再 GHOST 還原回去, 應該不太可能清不乾淨.....

我猜會發作的原因應該是剛好有相同的病毒重覆感染的...

[Pichumax]

挖...好恐怖勒...= =