距我上次中毒已經十多年了, 想說我這麼小心怎會中毒呢?

前天晚上, 快要上床睡覺時,

用google查了一下手機google nexus有沒有出新的韌體;

因為是用google查的, 所以連續開了好幾個網頁,

突然firefox自己關閉了, 就跳出有名的fakeAV的視窗, 

開始恐嚇你中毒了~

的確, 在那時候, task manager 或 cmd.exe 都開不起來.

好吧~開不起來沒關係, 先斷網路.

再看一下執行視窗的檔名.

原來是在 C:\Users\[user name]\AppData\Roaming\isecurity.exe .

用explorer開到那個目錄, 再把附檔名改掉, 改成 isecurity.exe-.

然後馬上果斷重開機.

開完機後, 看一下 registry, 果然 Run key 已經被加進去了.

這個還簡單, 砍掉就好...

可是, 這病毒到底怎樣溜進來的.

回頭看了頭號嫌犯『firefox』(事後證明不是他的錯～).

因為我一直是在用最新版的firefox, 幾乎一直是在用alpha版或是beta版.

既然懷疑是瀏覽器的問題, 再把 firefox 執行起來,

馬上 firefox 又關閉掉了, 而 fakeAV又出現了.

看樣子問題真的是在瀏覽網頁的時候中獎的.

這時候, 還是跟之前一樣改掉副檔名, 重開機.

不過這次fakeAV的位置改變了, 改到了 c:\appdata\isecurity.exe .

好～再試一次...再執行firefox一次, reload 所有的網頁.

但～這次安安靜靜地什麼都沒發生.

這是怎麼一回事啊～

試著把他放進vmware裡面測試,

fakeAV只會跳出一個視窗說『軟體已安裝』.

不過因為時間真已經太晚了, 只好關機先上床睡覺.

隔天, 原本打算重灌了.

我又打開firefox想抓一下其他掃毒軟體,

沒想到, 又再一次reproduce了.

只好再來試著reproduce...

奇怪的是, 跟昨天一樣, 連續可以reproduce兩次,

之後再試過很多次, 就是不會發生.

這時候就在想該不會是網路廣告的問題,

因為廣告每次出現的不同,

所以是有點憑運氣.

研究了一下這隻malware.

發現它會試著關閉其他程式, 運氣很好的是,

我發現它不會關閉叫做explorer的程式.

這時候就好辦了.