200911141915隨身碟病毒 資料夾.exe

去年9月寫過一篇關於隨身碟病毒的文章,

當時還是停留在第一代autorun.inf的階段,

現在此病毒已經進化到第二代了,

設立autorun.inf資料夾防止autorun.inf寫入執行惡意程式已經無效,

取而代之的是「複製資料夾.exe」

-

病毒名稱:Worm@Win32.sqx

sqx蠕蟲會刪除網路瀏覽記錄,並利用隨身碟散播。
 
sqx蠕蟲會在啟動區增加連結,在電腦重新開啟時會自動啟動。蠕蟲執行後,會刪除IE瀏覽器的cookie記錄檔。另外,當有隨身碟插入時,會將原本的資料夾隱藏,新增和原資料夾相同名稱的.exe檔案,並將圖示顯示為資料夾,當使用者將隨身碟插入其它電腦,會自動啟動被感染的檔案,讓電腦也中毒。

病毒發現日期:2008/12/25

影響平台:Windows 95/98/ME , Windows NT/2000/XP/2003

散播程度:中

破壞程度:高

Worm@Win32.sqx 行為描述:

註:在Win95/98/me %System% 預設值為 C:windowsSystem

在WinNT/2000/XP/2003 %System% 系統預設值為 C:WinNTSystem32

註:Win95/98/ME系統 %啟動% 預設為C:WINDOWSStart MenuPrograms啟動

WinNT/2000/XP/2003系統預設值為D:Documents and SettingsAll Users「開始」功能表程式集啟動

·病毒執行後,在%System%產生
3420E7資料夾
3420E7A853EE.EXE
3420E7cnvpe.fne
3420E7com.run
3420E7dp1.fne
3420E7eAPI.fne
3420E7internet.fne
3420E7krnln.fnr
3420E7RegEx.fnr
3420E7shell.fne
......
·病毒執行後,將病毒本身複製到%啟動%,使開機並啟動病毒。
A853EE.lnk
·病毒執行後,會刪除瀏覽器cookie資料夾內的資料(此資料夾存放使用者上網記錄)。
· 病毒執行後,會感染插入電腦的隨身碟,並進行以下行為:
1.將隨身碟中原本的資料夾隱藏。
2.新增和原本資料夾名稱的.exe檔案,並將圖示改成資料夾。
3.新增autorun.inf檔案,隨身碟插入電腦後,會自動執行蠕蟲。

 
這個問題比較大值得注意的是即使關閉Autorun.inf之執行或是自創一個唯讀的檔案,都不能夠完全防禦,此外更有可能誤執行惡意程式執行檔,而導致電腦遭USB中的惡意程式感染後門大開

資料來源:致格高中資訊服務專區

-

▼這是一般使用隨身碟時的畫面,沒什麼特別。


▼使用副檔名以及顯示隱藏隱藏檔來看看:工具 > 資料夾選項 > 檢視

 

 

▼出現畫面如下:

 

 

▼更換檢視方式看看有什麼不同:右鍵 > 檢視 > 詳細資料


 

▼出現畫面如下:

 

 

▼將資料夾.exe直接按住shift刪除,並將正常資料夾取消隱藏。

 

 

解決方法:

1.下載EFix。

EFix是PTT Junorn大大辛苦製作出來專門對付隨身碟病毒很好用的解毒軟體,

點這裡下載」:進去後點右邊的「EFix下載連結」,即可下載最新版的EFix。

 

2.將隨身碟插上電腦後執行EFix。

 

 

3.點選「開始」執行掃描。

 

 

▼掃描過程中不要執行其他程式,直到畫面自動結束。

 

  

▼掃描完畢後桌面上會出現一個文字檔,記錄剛剛掃描的各項記錄。

  

 

從上面的說明,

此種隨身碟病毒的特徵會刪除cookie與可能執行惡意程式導致後門大開,

可是我覺得剛開始對我可能比較困擾的是,

不知道原來的檔案已經隱藏,以為真的不見了,

而為了徹底殺毒將整個隨身碟格式化,

導致原來的資料夾也跟著格式化(這次是真的不見了),

如果裡面有什麼重要的資料的話,那就損失重大了。

 

使用EFix是能消除隨身碟病毒,

但因為當你把隨身碟使用在外面的公用電腦(如公司電腦)就很容易再次感染,

有一些小建議是我目前在使用的方式提供參考,

應該可以降低再次感染的機率....^^b

 

1.使用「副檔名」以及用「詳細資料」檢視隨身碟

使用副檔名可以看到資料夾出現.exe的副檔名,

不過不習慣使用副檔名時,在更改檔名時可能會誤刪該副檔名致使無法更名,這是剛開始比較困擾的地方。

使用詳細資料檢視可以看到資料夾是否有檔案大小,

這是最簡單判斷的方式。

 

2.使用檔案總管開啟隨身碟

如果隨身碟本身已經感染病毒,

使用「我的電腦」去開啟隨身碟將會執行AUTORUN開啟惡意程式導致PC中毒,

而使用「檔案總管」利用左側的樹狀資料夾開啟隨身碟將不會執行AUTORUN。

 

3.關閉PC自動執行(autorun)的指令

a.使用登錄檔更改MountPoints2

b.停用Shell Hardware Detection 

上列更改方法請參考中研院「小心病毒就在USB中」。

 

4.避免交互感染

我在事務所最常遇到的情況是,

明明某台公用電腦我都有徹底殺毒,但為什麼不久後又中毒了,

後來發現最有可能是同事把家裡的毒帶來事務所了,

或著某一同事的電腦已經中毒,因為公用隨身碟或他自己隨身碟的使用而將病毒轉移到公用電腦

殺幾次毒後也懶得再殺了,

所以公用電腦往往是病毒的溫床,

用公用電腦使用隨身碟回存自己的電腦時,

照上列建議1.2.3.應該可以避免被感染的機會。

 

先用EFix把自己的電腦掃一掃吧!

回應
關鍵字

我不求自己有多麼高深的知識,
只希望自己有足夠的智慧去看待人生百態.....
我不會唸經頌佛,
我只知道,外來的一切事物都只是自己內心接受或拒絕的選擇而已....
自己啊自己,
當自己的主人,發自內心的去感受人生中的喜怒哀樂,
這樣的人生才有樂趣.....