[方案] 近期碰到的會格式化全磁碟的病毒

看板AntiVirus (防毒)作者junorn (威廉華勒斯)時間17年前 (2008/09/18 22:05)推噓16(16推 0噓 6→)

留言22則, 18人參與討論串1/1

檔名為syssetup.exe，位在各磁碟根目錄下以隨身碟途徑進行傳播。這個似乎去年就有了。只是最近突然有碰到而已並且有在不少地方有看到幾例這種情形所以po出來請各位自己注意一下我有拿到樣本但我還沒測試 ( 感謝苦主 rainfrog 提供樣本 m(_o_)m ) 我看了一下他裡面寫的部分字串 ( 用計事本就看的到 ) 感染途徑大概如下 ( 有些是猜測的 ) 1.隨身碟 autorun.inf 所以他可以歸類到隨身碟病毒類，常使用隨身碟的要小心了另外他有一個動作會將在各磁碟根目錄的autorun.inf資料夾刪除如果真的是的話那建立資料夾的方式是無效的 2.共享資料夾攻擊這一段我不清楚，似乎是會找$IPC並嘗試寫入syssetup.exe和autorun.inf的東西至於會造成什麼樣子的傷害 1. format x: /x/y/b x:代表你系統中所有硬碟 ex: d: e: format 就是格式化你的硬碟，不懂的人你就當作是讓你硬碟重灌吧。祇不過不是灌系統碟而已... 2. del *.mp3 *.gho *.doc *.xls *.wmv *...... 刪除你所有硬碟裡面的 mp3檔 gho檔 doc檔 xls檔 wmv檔一樣是很機車的毒... 至於寫入登錄值的位置則因為沒測試目前不知道不過目前知道的一個是 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon shell=explorer.exe syssetup.exe 原本的值應該是 shell=exlorer.exe 病毒產生的檔案和執行方式則不明，我現在家裡出了點事沒辦法去測這些東西還希望有空閒的人能夠幫忙測試一下該行為並且看有沒有能夠有對應的刪除方式至於EFix 目前的版本 (4.83) 能不能刪？我不知道....我沒測試如果說他會自己一直執行常駐的話那EF應該是刪的掉，用CRC32比對法的關係但不是的話就不一定了... -- 人間世稱做緣相連的紅線不停纏繞脆弱而惹人悲憐的彼岸花憤怒、傷感、終日以淚洗面在凌晨零時的夜幕中為你消除無法平息的怨恨 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.171.86 ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:07) ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:07) ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:08) ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:10) ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:14) ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:16) ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:17)

推

joycewanga

09/18 22:29, , 1^F

09/18 22:29, 1^F

推

flooding

09/18 22:30, , 2^F

09/18 22:30, 2^F

推

heber

09/18 22:31, , 3^F

09/18 22:31, 3^F