系統不穩→用EMET工具後發現又中木馬orz

最近這一兩週電腦系統一直出現謎不穩現象
主要是windows使用一陣子或是要關機的時候桌面(shell)會當掉,不過當掉之後桌面重新載入了就沒事了,並不會重複當掉
所以雖然有點擾人,我倒也沒特別在意
不過前幾天剛好看到網站提到說M$有介紹一個新的工具程式,可以預先防止因為應用程式漏洞造成的零時差攻擊
Use EMET 2.0 to block Adobe Reader and Acrobat 0-day exploit
Adobe ReaderとAcrobatの脆弱性を狙う攻撃、MSのツールで防止可能に
這是一個叫"Enhanced Mitigation Experience Toolkit"（EMET）的工具,感覺有點像loader的作用,可以對一些沒有啟動ASLR的程式強制把它記憶體位址亂數化,而有ASLR相同效果...重要的是,這個工具支援XP,雖然XP本身不支援ASLR,不過還是可以用這個工具開啟其他的應用程式保護機制,例如SEHOP或是過濾有害的shellcode
maa...如果有興趣可以自己找來研究: Enhanced Mitigation Experience Toolkit 2.0

總之前幾天想試玩這個工具,而且把一些常用程式掛上EMET,結果一重開機,explorer.exe直接當掉,桌面一個白(|||
以為是有什麼不相容,但是登入admin之後偏偏又完全沒事,只要登入日常使用帳號就當
這下真的懷疑有什麼不對勁了,偏偏防毒也沒動靜真讓人摸不著頭腦...~_~
不過既然已經縮小單一帳號的範圍,所以就先從CURRENT_USER察起...果然,進去run機碼就看到陌生的東西

我從來就沒用過skype,況且那個路徑也不對,抓個正著！
不過防毒沒欄到還蠻瞎的,虧我這麼信任它~_~...上傳了virustotal,檢出率不到3成,可能是新變種吧（忘記抓圖）
幸好日常帳號的權限不大,沒法寫入HKLM,也不能動到system32裡的東西,所以最多只能在登入時對shell(explorer.exe)作process的injection,這也是只有單一帳號掛,登入其他帳號沒問題的原因
問題來了...其實我搞不清楚這個偽skype什麼時候存在的,那我以前的備份要怎麼留阿...orz
好吧,只能祈禱我用不到那些備份...(死

最後貼一個我目前在EMET的設定,至於他有沒有這麼神說可以擋下未知的程式漏洞,我也無從確認,至少這次有問題的explorer被它強制終止了
這東西試用了一陣子,覺得對系統沒多大影響,所以把常用的大小程式全部都掛上去了...ლ(╹◡╹ლ)

Trackback: http://blog.snow-sugar.net/trackback.php?tbID=942&extra=4df455
Tags: orz M$ 資安 EMET XP