UKASH病毒

ms-windows 　　前兩天拿到一台中毒的NB，打开机输入窗口，就出现一个大大的LOGO，上面写着「英国警察」，旁邊還有一位老阿sir，下方则是简单列出你的电脑规格，然后说你的电脑已经怎样怎样的，而且還啟動NB的攝影機，自己的即时画面就出现在最下方，看起來頗為嚇人，似乎已被全盘监控。

　　稍微試了一下，这个污点效果挺特殊的方式，光是嚇人或阻礙操作的方式就蠻成功的，除了按CTRL ALT DEL选择关机外，什麼事情都做不了，连启动安全模式也照样看得到阿sir。本来想透过WinPE来找有病毒，但卻開機失敗，后来试着用「安全模式(命令提示字元)“，阿sir终于不再现身。

先透过命令提示字元执行登录编辑器及服务，简单检视后，没看到异常的地方，便试着执行explorer，出现阿部亮先生结果…。经过反覆测试，找到一个阻挡阿sir的方法：

1.先执行MMC，叫出服务的功能。

2.执行explorer，此时病毒网页会被启动。

3.按CTRL+ALT+DEL，选择重开机。

4.这时关机程序会先关掉IE，也就是病毒網頁，
接着会暂停关机程序，询问你MMC是否要存档，
此時就可以先不理會存檔訊息，开始执行你想做的事。

　　经过检查，病毒主要存在All UsersApplication Data里面，有五个dat档外加一个rundll32.exe档，六件档案移动搬迁后正史，接来就是清理一些残渣。

　　以我這台來說，在该USER的开始功能表里头的启动有个msconfig的捷径，图案用的是登录编辑器的图示，这是其中一个启动病毒的连结。

　　另外一個就比較隱密，执法REGEDIT后，找到下面两个机码：

HKEY_LOCAL_MACHINE  SYSTEM  ControlSet001 服务 WINMGMT 参数

右邊找到ServiceDll的字串，值已經被改成其中一個dat檔的路徑，这也是每次执行explorer就会呼叫病毒的原因，这边要还原成「%SystemRoot%system32wbemWMIsvc.dll」。

　　病毒會變種，所以每個人遇到的狀況可能會不一樣，出来了几件气软体资本没扫这次基础污点试了，所以應該是蠻新的變種，提供我的解決方式給大家參考，希望有所帮助。

6 回应