guly
VIP會員
 
洋洋
積分 2210
發文 83
註冊 2005-10-16
來自 越南
狀態 離線
|
#1 [注意] 發現隨身碟、記憶卡的惡意執行軟體
各位朋友請注意,這兩天發現有一種新惡意執行程式,由於掃毒軟體幾乎無法發現,在這邊,告訴各位朋友並希望如果有發現的解決方式。
由於現今隨身碟、記憶卡活動流行,因此以往隨身碟、記憶卡常伴隨W32、Trojan系列的蠕蟲病毒(尤其是越南,幾乎只要記憶卡經過他們手機店的電腦,每個都中毒),這一種還好,只要是他人的隨身碟,插入USB後不要先開啟而先掃描刪除它就解決了,但是現在這個就糟糕了,因為它,掃毒軟體根本無法發現,這兩天為了這個弄得快無力了,整天系統重灌,還以為是硬體有問題。
如何判定這類有問題的隨身碟,記憶卡?
當隨身碟、記憶卡插入電腦後,電腦讀取後一般會顯示:用Media Play播放、檢視圖片、開啟資料夾、加快我的開機速度(Vista)等,這是正常的。但是如果插入後,那個跳出來顯示除了有[開啟資料夾]、[加快我的開機速度(Vista)]外,最上面還有一個[執行.exe]或[Setup.exe]、[Run.exe]、[*.exe],請不要開啟,到[我的電腦],看到那個隨身磁碟,指著它按滑鼠右鍵,如果在選單中有[自動執行]的項目,下面還有一個很奇怪的執行選單,例如我碰到的[Quet vi rut cung bach khoa AntiVirus](還有其他亂碼的),保證這個隨身碟、卡中獎了。
影響範圍:Windows 2000,Windows Xp , Windows Vista
會在執行那個exe檔後,串改Win32\Sistem?.exe的資料,Windows XP,2000的Regedit控制權被鎖定,重開後電腦無法登入(要重灌);Windows Vista由於核心無法竄改,中了後重開登入無法顯示視窗作業,只要再重開按F8,選[修復我的電腦],將系統還原到前面一點的時間就OK了。還有一項特點,當系統是Administrator當使用者,中獎後按[Ctrl]+[Alt]+[Del]時,[啟動工作管理員]居然不見了,重開就發生前述的症狀。
預防方法:
1、他人的磁碟插入電腦,請不要有任何動作,先檢視是否有我說的那的*.exe出現,然後按取消。
2、先進入[我的電腦],先掃描那個磁碟是否有已知的病毒蠕蟲。
3、指著那個磁碟按滑鼠右鍵,看看是不是有前述的奇怪選單。
解決方法:
1、確定有這種情形,要開啟該磁碟,請指著該磁碟按滑鼠右鍵,選擇[開啟],千萬不要用滑鼠左鍵點兩下[會執行]。
2、在該磁碟下面的壓縮檔、安裝程式、Office紋建檔等,只要是可以執行或開啟的檔案千萬不要開啟。
3、在視窗選單…[工具]\[資料夾選項]\[檢視]下面的[隱藏檔案和資料夾],點選[顯示所有檔案和資料夾],按[確定]後,將該磁碟裡面的檔案拷貝到系統硬碟的一個資料夾裡(隱藏檔不要)。
4、Format…格式化那個磁碟(如果那個磁碟的資料不要,就直接格式化,上面1、2、3的步驟省略)
結論:
這個東西很狡滑,除了系統主要磁區外,會感染隨身碟、記憶卡、外接式硬碟與延伸磁碟區,然後長駐在該磁碟保留的緩充記憶磁區裡,你是找不到他的檔案的,當你開啟顯示隱藏檔案與資料夾,會發現有*.xml或者是Filelist*.*的隱藏檔,當使用者不知情點兩下滑鼠左鍵就直接執行惡意程式(產生以下列的批次檔並執行),但是如果是用按滑鼠右鍵選擇[開啟]或[檔案管理員]進入這個磁碟,只要執行到這磁碟裡面一切的*.exe , *.com,Office文件檔,rar與zip壓縮檔等,它還是會跟著執行病毒程式執行破壞指令,但是如果是進入磁碟進行複製檔案的行為,就沒有觸犯的它的啟動執行,也因此這個磁碟如果資料重要是還有救的,最終,在防毒軟體還沒有出現解決方法之前,格式化這個隨身碟、記憶卡或者是延伸磁碟是唯一的辦法。
2008/5/8在磁碟中找到批次檔
deltmp.bat
@echo off
Color 0a
Echo ============================
Echo *xiajisoft.com*
Echo *Wanguoj@163.com*
Echo ============================
Echo (亂碼)
Del /f /s /q %systemdrive%\*.tmp
Del /f /s /q %systemdrive%\*._mp
Del /f /s /q %systemdrive%\*.gid
Del /f /s /q %systemdrive%\*.chk
Del /f /s /q %systemdrive%\*.old
Del /f /s /q %systemdrive%\recycled\*.*
Del /s /q Windir%\temp & md %windir%\temp
Del /f /q %suserprofile%\recent\*.*
Del /f /s /q %suserprofile%\Local Settings\Temporary Internet Files\*.*
Del /f /s /q %suserprofile%\Local Settings\Temp\*.*
Del /f /s /q %suserprofile%\recent\*.*
@exit
wgi.bat
@echo off
Color 0a
Echo ============================
Echo *xiajisoft.com*
Echo *Wanguoj@163.com*
Echo ============================
Echo (亂碼)
Echo (亂碼)
Echo (亂碼)
Del c:\*.vbs /f /s /aH
Del c:\*.reg /f /s /aH
Del d:\*.vbs /f /s /aH
Del d:\*.reg /f /s /aH
Del e:\*.vbs /f /s /aH
Del e:\*.reg /f /s /aH
Del f:\*.vbs /f /s /aH
Del f:\*.reg /f /s /aH
@exit
原來是這樣子,難怪掃毒程式掃不到,因為它也是執行程式,只是隱藏在緩衝記憶磁區裡,這樣製造出惡意的批次檔殺掉系統檔案,真的再怎麼看都是合法掩飾非法,不過這個樣子的話,XP與2000作業系統將是受害最深的。
[ Last edited by guly on 2008-5-12 at 08:21 AM ]
|
洋洋 |
|
