這隻病毒把資訊處搞的雞飛狗跳,從一台電腦中毒,馬上就由隨身碟散播感染,不到一週就有另外五台電腦遭殃、一台電腦重灌,今天不睡就直接跟他拼了!
這個病毒會先在所有可移動式的磁碟機建立一個 autorun.inf 和一個 RECYCLER 的隱藏資料夾(資源回收桶圖示),當這個磁碟機被接上電腦,作業系統就會去讀取 autorun.inf 檔,內容如下:
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
從上面可以看到這會讓系統自動執行 RECYCLER\autorun.exe。執行後就會讓系統感染病毒。
這 個病毒似乎是變種病毒,由 Kaspersky 掃毒後得到的病毒名稱是 Worm.Win32.Delf.aj,用這個名稱在網路上查詢會找到一個蠕蟲,特徵是開基石會自動開啟記事本,而且會產生wincfgs.exe、 KB20060111.exe二個檔案。但是這次不管重新開機幾次也都沒有看到記事本自動開啟,硬碟任何地方也找不到這二個檔案。
後來想起蘇大哥似乎提到 usbmon.dll 有問題。後來發現這個檔案不是病毒,因為有沒有中毒,再接上隨身碟以後都會出現且 i386 資料夾中也有 usbmon.DL_ 的檔案。
執行病毒以後發現,除了 usbmon.dll 以外還有一個 usbmons.dll (多一個 "s"),丟給 Google 查詢後看到台大 PTT 上也有人用防毒軟體掃到這個檔案是木馬,跟這個關連的還有一個 kb2006a.exe。從 regedit 查詢發現與 USB 有關的如 USB Monitor 的登錄檔全部都有 usbmons.dll 的鍵值,所以開始懷疑是 usbmons.dll 連到 kb2006a.exe 在磁碟機上植入病毒。
將這二個檔案刪除,再把登錄檔修改了以後,重新開機以後接上隨身碟,沒出現 autorun.inf。
所以中毒的話,先刪除以下二個檔案:
C:\windows\system32\usbmons.dll
C:\windows\system32\kb2006a.exe
(無法刪除可使用 Unlocker 解鎖)
接著點 開始 -> 執行 -> "regedit",按 Ctrl+F 搜尋關鍵字「usbmons.dll」。應該會出現在二種不同的機碼內。
USB Monitor :Driver = "usbmons.dll" -> 改回正確的機碼 (刪掉 "s")
OpenSaveMRU :a, b, c ... = "usbmons.dll" -> 刪除字串值
接下來刪除隨身碟中的病毒檔案。在接上隨身碟之前,請先關閉系統自動執行的功能!接上隨身碟後開啟我的電腦,在隨身碟的圖示上點滑鼠右鍵 ,千萬不可以直接點二下滑鼠左鍵,選擇「開啟(O)」,不要點選英文的「Open」。進入隨身碟後,刪除 autorun.inf 以及 RECYCLER 資料夾即可。
No comments:
Post a Comment