最近好像有隻USB的病毒在流行,實驗室同仁已有人中了,上網查了一下相關的資料,提供給大家參考。如果你有下列症狀,請小心喔!目前已知 NOD32, Kaspersky 都已經可以偵測到了,至於清除效果,我沒遇過所以還沒有資料。
##ReadMore##====================以下節錄自對岸某資訊相關論壇================
一開機就彈出個無標 題的記事本,但是執行msconfig啟動項,又沒的提示加載記事本,移動硬碟(或USB 隨身碟)插到USB口時,點擊磁碟圖示進入時,也會彈出空白記事本。偶爾系統 回應較慢;雖然也不是嚴重影響系統的進程和執行速度,但老是這樣,容易讓人產生不爽的感覺.于是我上網查了下,找出了點門道來.(後面列出的數據大都出自 網上:-)).
由於這種情況都是在使用了諸如USB 隨身碟的移動存儲的計算機出現的,所以導致根源應該在USB 隨身碟上所存儲的文件。這個USB 隨身碟可能被感染有蠕蟲病毒,在接入別的計算機上便會使得該計算機出現這種開機彈出無標題的記事本的情況,不過蠕蟲病毒至少需要激活,也就是執行一下這個蠕蟲病毒.
[蠕蟲簡單分析]︰
蠕蟲名稱︰Worm.Win32.Delf.aj(AVP)
蠕蟲別名︰Trojan.Spy.UsbSpy.a(瑞星)、TrojanSpy.USBSpy.a(江民)
蠕蟲大小︰47,104位元組
加殼模式︰UPX
MD5︰07adddef653a702b9a11edbcee07e82b
CRC32︰100A382A
[發作現象]︰
電腦開機時會自動彈出記事本,會生成wincfgs.exe、KB20060111.exe等文件
[行為分析]︰
1. 在註冊表中創建USBSpyRunMutex互斥量,避免重複感染。
2. 在系統中生成
C:\%system%\wincfgs.exe(系統、隱藏、只讀屬性)
C:\%WINDOWS%\KB20060111.exe(大小66,560 位元組,非病毒,是記事本程式)
3. 在註冊表中添加︰
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load=“C:\windows\system32\wincfgs.exe”
4. 在移動設備中生成RECYCLER\RECYCLER目錄和autorun.inf,在這個目錄下生成autorun.exe、desktop.ini。
autorun.inf的內容︰
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
autorun.exe同wincfgs.exe
desktop.ini的內容︰
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
由此可見,當含有病毒的移動設備接入電腦時,蠕蟲會被自動執行。
開機彈出的記事本便是這個KB20060111.exe文件了,誘發這個KB20060111.exe的啟動可能不是常規啟動項,而是 wincfgs.exe這個文件啟動(呼叫)KB20060111.exe文件的。就是說KB20060111.exe這個文件並非病毒或者Joke程式 本身,其實KB20060111.exe就是一個記事本程式(這也就是為什麼KB20060111.exe文件的圖標也是一個記事本程式的圖標的緣故)。 另外沒有清理wincfgs.exe的計算機再次接入一個乾淨的移動存儲設備可能會再次傳染這個移動存儲設備。
[修改辦法]
1、修改註冊表
a.執行“regedit”啟動註冊表編輯器;
b.分別刪除註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load註冊表鍵裡的鍵值內容。
不放心的話可以搜索“wincfgs.exe”的註冊表鍵並刪除之
2、刪除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe
3移動存儲設備︰
連接好USB後,打開我的電腦,點右鍵選擇打開(不要直接點擊打開或點“open”),然後打開選單的"工具"->"文件夾選項"->"查看",去掉“隱藏受保護的系統文件(推薦)”前面的勾。刪除掉USB 隨身碟裡面的desktop.ini,wincfgs.exe和autorun.inf
移動硬碟的手動刪除每個磁碟圖示下面的desktop.ini,wincfgs.exe和autorun.inf文件。。
還有個方便的方法 批處理刪除註冊表修改︰
複製下面文字到記事本,另存為“Wincfgs_kill.bat”(注意保存時選擇文件類型為“所有文件”)
echo off
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f
然後執行,完畢後重啟電腦
原轉載網址已經遺失,如果有人知道本出自何處,請告知我,我馬上補正。
##ReadMore##====================以下節錄自對岸某資訊相關論壇================
一開機就彈出個無標 題的記事本,但是執行msconfig啟動項,又沒的提示加載記事本,移動硬碟(或USB 隨身碟)插到USB口時,點擊磁碟圖示進入時,也會彈出空白記事本。偶爾系統 回應較慢;雖然也不是嚴重影響系統的進程和執行速度,但老是這樣,容易讓人產生不爽的感覺.于是我上網查了下,找出了點門道來.(後面列出的數據大都出自 網上:-)).
由於這種情況都是在使用了諸如USB 隨身碟的移動存儲的計算機出現的,所以導致根源應該在USB 隨身碟上所存儲的文件。這個USB 隨身碟可能被感染有蠕蟲病毒,在接入別的計算機上便會使得該計算機出現這種開機彈出無標題的記事本的情況,不過蠕蟲病毒至少需要激活,也就是執行一下這個蠕蟲病毒.
[蠕蟲簡單分析]︰
蠕蟲名稱︰Worm.Win32.Delf.aj(AVP)
蠕蟲別名︰Trojan.Spy.UsbSpy.a(瑞星)、TrojanSpy.USBSpy.a(江民)
蠕蟲大小︰47,104位元組
加殼模式︰UPX
MD5︰07adddef653a702b9a11edbcee07e82b
CRC32︰100A382A
[發作現象]︰
電腦開機時會自動彈出記事本,會生成wincfgs.exe、KB20060111.exe等文件
[行為分析]︰
1. 在註冊表中創建USBSpyRunMutex互斥量,避免重複感染。
2. 在系統中生成
C:\%system%\wincfgs.exe(系統、隱藏、只讀屬性)
C:\%WINDOWS%\KB20060111.exe(大小66,560 位元組,非病毒,是記事本程式)
3. 在註冊表中添加︰
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load=“C:\windows\system32\wincfgs.exe”
4. 在移動設備中生成RECYCLER\RECYCLER目錄和autorun.inf,在這個目錄下生成autorun.exe、desktop.ini。
autorun.inf的內容︰
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
autorun.exe同wincfgs.exe
desktop.ini的內容︰
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
由此可見,當含有病毒的移動設備接入電腦時,蠕蟲會被自動執行。
開機彈出的記事本便是這個KB20060111.exe文件了,誘發這個KB20060111.exe的啟動可能不是常規啟動項,而是 wincfgs.exe這個文件啟動(呼叫)KB20060111.exe文件的。就是說KB20060111.exe這個文件並非病毒或者Joke程式 本身,其實KB20060111.exe就是一個記事本程式(這也就是為什麼KB20060111.exe文件的圖標也是一個記事本程式的圖標的緣故)。 另外沒有清理wincfgs.exe的計算機再次接入一個乾淨的移動存儲設備可能會再次傳染這個移動存儲設備。
[修改辦法]
1、修改註冊表
a.執行“regedit”啟動註冊表編輯器;
b.分別刪除註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load註冊表鍵裡的鍵值內容。
不放心的話可以搜索“wincfgs.exe”的註冊表鍵並刪除之
2、刪除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe
3移動存儲設備︰
連接好USB後,打開我的電腦,點右鍵選擇打開(不要直接點擊打開或點“open”),然後打開選單的"工具"->"文件夾選項"->"查看",去掉“隱藏受保護的系統文件(推薦)”前面的勾。刪除掉USB 隨身碟裡面的desktop.ini,wincfgs.exe和autorun.inf
移動硬碟的手動刪除每個磁碟圖示下面的desktop.ini,wincfgs.exe和autorun.inf文件。。
還有個方便的方法 批處理刪除註冊表修改︰
複製下面文字到記事本,另存為“Wincfgs_kill.bat”(注意保存時選擇文件類型為“所有文件”)
echo off
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f
然後執行,完畢後重啟電腦
原轉載網址已經遺失,如果有人知道本出自何處,請告知我,我馬上補正。
看到這一串解毒程序,!還是重灌會比較快
回覆刪除不過幸好我的電腦裝的是NOD32~
最近幫朋友搞定了一台電腦,是有被感染的,所以有一點處理這隻小程式的經驗,原則上並不難殺,只要找到他的位置, 砍了他就好,並確定沒有殘毒就可以了,也不必去改機碼。
回覆刪除重灌一點都不會比較快,娛樂機還好,工作機要從軟體環境到設定作完,至少一個禮拜跑不掉,我用的系統從裝機到現在沒有重灌過。(驕傲的說!)