非常難纏的木馬：Flec006.exe

有玩 P2P 軟體的人應該都知道，透過 P2P 下載下來的檔案要特別小心，有可能是木馬或病毒。由於太過信任防毒軟體 AVG，我用 P2P 軟體下載了某個工具程式後就直接執行，一執行就立刻發現不對勁，因為應用程式的畫面跟預期的完全不同，馬上關閉，看起來好像沒事了。結果過一會兒電腦反應速度開始變慢，CPU 使用率居高不下，看了一下工作管理員，裡面出現一個陌生的 process: FLEC006.EXE。 用工作管理員強制刪除這個 process，竟然不給刪！（我的帳戶是 Administrator 權限），快速 Google 了一下，發現這個木馬不太容易清，具網路上的資料顯示，程式檔案隱藏在 C:\Document and Settings\[USER]\Application Data\m 資料夾下。可是進去這個資料夾看，即使顯示隱藏檔，也沒有看到 flec006.exe 這個檔案。我嘗試手動刪除了這個資料夾底下的所有檔案，都沒問題，然後我嘗試刪除 "m" 資料夾，卻無法刪除，顯然這個資料夾裡面還有檔案，而且被執行中的 process 鎖住，只是我看不見。我不知道這木馬用了什麼手法，只覺得事情恐怕不容易解決。 此外，網路上資料也說，這個木馬會在 registry 寫入開機執行的設定。那好，只要把它植入的 registry key 刪掉再重開機，flec006.exe 就不會在開機時自動執行，到時候再來砍檔就好。結果我用 regedit 到 registry 裡面的 HKEY_CURRENT_USER 以及 HKEY_LOCAL_MACHINE 底下的 Software\Microsft\Windows\Current Version\Run，都沒有發現 flec006.exe 的蹤跡。納悶之餘，直接用搜尋的好了，結果搜尋動作一執行就沒辦法結束了。我再開啟其他 registry doctor 之類檢測工具，結果一樣當掉。我猜這也是那隻木馬搞的鬼。 這時候，我突然想到我的防毒軟體 AVG 怎麼沒起作用，於是看了一下工作列右下角，奇怪，AVG 圖示怎麼不見了，也就是說，AVG 根本沒有執行。好吧，那我就手動去執行，結果系統卻告訴我，AVG 並不是可執行的 Win32 應用程式，老天！連 AVG 也被破壞了嗎？！ 本想再上網查查看這個木馬的解法，可是網路既然已經停掉，我又怕它會傳什麼東西出去（它確實會傳資料出去），所以還是不上網查了。我想了一個方法，就是去 rename C:\Document and Settings\[USER]\Application Data\m 這個資料夾。沒錯，資料夾雖然被鎖住不能刪除，但卻可以更名。如此一來，重開機後，registry 裡面指定的自動執行命令就找不到對應的檔案了。 結果證明我的想法太天真了。重開機後，系統是可以進入，但是才一兩分鐘，系統就自動 reboot 了，也就是說，我必須跟木馬比速度。試了幾次，還是比輸它，放棄！於是我去煮了碗泡麵，然後跑去看新聞..... 吃飽喝足了，把之前燒錄的 WinPE 3.0 和 Acronis True Image 9.1 急救光碟片搬出來。首先用 WinPE 從光碟片開機，把重要資料備份到行動碟上，接下來用 Acronis True Image 急救光碟開機，把兩個月前備份的 C:\ 碟 partition 還原，然後重開機，OK! 全都回來了。 在這過程中，我用 WinPE 開機後，還有到 C:\Document and Settings\[USER]\Application Data\m 資料夾下查看，這時候就發現裡面確實有 flec006.exe 了，而且不只這樣，它還有個資料夾，裡面放了一堆壓縮檔，我大概瀏覽一下，嚇了一跳，裡面似乎全都是木馬啊！各式各樣的木馬！應該是 flex006.exe 執行時到網路上自動下載回來的吧。這時候去刪除 m 這整個目錄就都沒問題了。 系統恢復之後，我再用 P2P 軟體下載之前那個木馬偽裝的檔案，再用 AVG 去掃，果然掃不出來！所以，不管用什麼防毒軟體，還是經常備份最安全、有效。當然，前提是備份的東西本身也是乾淨的才行啦。 順便推薦一下 Acronis True Image，用過一次我就沒再考慮過 Norton Ghost 了，真是非常好用的系統備份／還原工具。 後記 (2008-7-20)：大約兩個星期後，AVG 線上更新完病毒定義檔，我再去下載之前那個木馬，AVG 就已經能偵測到了。