【資料】Conime

[複製連結] 檢視: 26398|回覆: 1

幻影神兵

名望的英雄

電梯直達

1^#

發表於 06-10-9 12:04:31 |只看該作者 |降序瀏覽大字中字小字正體化简体化

　　最近在網路上看到一些人詢問有關 conime.exe ，並且懷疑這個工作行程有問題。之前小弟也不小心在檢測工具(Proccess Explorer)中發現了這個檔案，其實剛開始我認為是安全的(因為上面是寫微軟的公司所發布)，但是過了不久，我還是認為這個行程有點奇怪，因為微軟的程序圖案是類似視窗的 (看附件)

，而該程序卻是 cmd (Ms-Dos，也就是XP的命令提示字元) 的樣式。

　　在小弟稍做檢查並且上網搜尋資料後，發現那是一個後門程式。而卡巴大概把它誤認為是可靠的程式就讓它略過去了(因為它的程序寫的很像是安全的東西)，而這個後門在小弟的電腦待了近一個禮拜後才被消除掉，不知道資料被偷了多少:D"。

　　以下給大家關於本程序的資料

　　正常的Conime，它的描述是Microsoft Console IME，就是輸入法編輯器的相關工具檔案，一般的情況下(至少在我用電腦以來)幾乎是不會出現的。至於開什麼檔案它才會出現，小弟目前還不是很清楚。

　　然而不正常的Conime.exe，它的描述是「BFGhost」，好像是一款關於信件追蹤的程式。外國的程序說明站顯示該程式會在你的電腦產生一個Conime.exe(大多數)。並且從這個漏洞植入後門程式，因而可以竊取你電腦的帳號、密碼、資料。由於防駭軟體沒辦法偵測出來，所以可以活很久---。

　　該程式起源是中國大陸(CHINA)，大約2002年10月開始出現。因為沒辦法靠防毒軟體，因此風險幾乎是最高，要是可以破壞程式大概就是最高了，不過似乎可以靠受害者的電腦上傳下載程式，並且讓使用者的電腦網路整個癱瘓，因此找到就盡快刪除。

另外可能還需要尋找其他的可能一並產生的檔案，以下是網路資料

可能被執行(命名為)的檔案

bfghost.exe
editmm.exe
systemroot+\conime.exe

還有可疑的DLL檔案

systemroot+\system\service.dll

因此要移除以下的檔案(電腦裡的，不一定每個都有，看是哪個被產生)

bfghost.exe
editmm.exe
read it.txt
systemroot+\conime.exe
systemroot+\system\regsys.vxd
systemroot+\system\service.dll

關於 Conime 的一些資料：

http://www.liutilities.com/produ ... cesslibrary/conime/

http://paretologic.com/resources ... ?remove=BFGhost+1.0

文 : Kerash (本人啦)

[ 本文最後由幻影神兵於 06-10-9 12:05 PM 編輯 ]

悠悠哉哉。

轉播0 分享0 收藏0

回覆使用道具檢舉

天之聖者

一般的鄉紳

2^#

發表於 06-10-9 12:22:06 |只看該作者大字中字小字正體化简体化載入全部圖片

感謝提供資料
正在收尋中..

回覆使用道具檢舉

最後更新返回清單

帳號		自動登入	取回密碼
密碼			註冊