200911141915隨身碟病毒 資料夾.exe

去年9月寫過一篇關於隨身碟病毒的文章,

當時還是停留在第一代autorun.inf的階段,

現在此病毒已經進化到第二代了,

設立autorun.inf資料夾防止autorun.inf寫入執行惡意程式已經無效,

取而代之的是「複製資料夾.exe」

-

病毒名稱:Worm@Win32.sqx

sqx蠕蟲會刪除網路瀏覽記錄,並利用隨身碟散播。
 
sqx蠕蟲會在啟動區增加連結,在電腦重新開啟時會自動啟動。蠕蟲執行後,會刪除IE瀏覽器的cookie記錄檔。另外,當有隨身碟插入時,會將原本的資料夾隱藏,新增和原資料夾相同名稱的.exe檔案,並將圖示顯示為資料夾,當使用者將隨身碟插入其它電腦,會自動啟動被感染的檔案,讓電腦也中毒。

病毒發現日期:2008/12/25

影響平台:Windows 95/98/ME , Windows NT/2000/XP/2003

散播程度:中

破壞程度:高

Worm@Win32.sqx 行為描述:

註:在Win95/98/me %System% 預設值為 C:windowsSystem

在WinNT/2000/XP/2003 %System% 系統預設值為 C:WinNTSystem32

註:Win95/98/ME系統 %啟動% 預設為C:WINDOWSStart MenuPrograms啟動

WinNT/2000/XP/2003系統預設值為D:Documents and SettingsAll Users「開始」功能表程式集啟動

·病毒執行後,在%System%產生
3420E7資料夾
3420E7A853EE.EXE
3420E7cnvpe.fne
3420E7com.run
3420E7dp1.fne
3420E7eAPI.fne
3420E7internet.fne
3420E7krnln.fnr
3420E7RegEx.fnr
3420E7shell.fne
......
·病毒執行後,將病毒本身複製到%啟動%,使開機並啟動病毒。
A853EE.lnk
·病毒執行後,會刪除瀏覽器cookie資料夾內的資料(此資料夾存放使用者上網記錄)。
· 病毒執行後,會感染插入電腦的隨身碟,並進行以下行為:
1.將隨身碟中原本的資料夾隱藏。
2.新增和原本資料夾名稱的.exe檔案,並將圖示改成資料夾。
3.新增autorun.inf檔案,隨身碟插入電腦後,會自動執行蠕蟲。

 
這個問題比較大值得注意的是即使關閉Autorun.inf之執行或是自創一個唯讀的檔案,都不能夠完全防禦,此外更有可能誤執行惡意程式執行檔,而導致電腦遭USB中的惡意程式感染後門大開

資料來源:致格高中資訊服務專區

-

▼這是一般使用隨身碟時的畫面,沒什麼特別。


▼使用副檔名以及顯示隱藏隱藏檔來看看:工具 > 資料夾選項 > 檢視

 

 

▼出現畫面如下:

 

 

▼更換檢視方式看看有什麼不同:右鍵 > 檢視 > 詳細資料


 

▼出現畫面如下:

 

 

▼將資料夾.exe直接按住shift刪除,並將正常資料夾取消隱藏。

 

 

解決方法:

1.下載EFix。

EFix是PTT Junorn大大辛苦製作出來專門對付隨身碟病毒很好用的解毒軟體,

點這裡下載」:進去後點右邊的「EFix下載連結」,即可下載最新版的EFix。

 

2.將隨身碟插上電腦後執行EFix。

 

 

3.點選「開始」執行掃描。

 

 

▼掃描過程中不要執行其他程式,直到畫面自動結束。

 

  

▼掃描完畢後桌面上會出現一個文字檔,記錄剛剛掃描的各項記錄。

  

 

從上面的說明,

此種隨身碟病毒的特徵會刪除cookie與可能執行惡意程式導致後門大開,

可是我覺得剛開始對我可能比較困擾的是,

不知道原來的檔案已經隱藏,以為真的不見了,

而為了徹底殺毒將整個隨身碟格式化,

導致原來的資料夾也跟著格式化(這次是真的不見了),

如果裡面有什麼重要的資料的話,那就損失重大了。

 

使用EFix是能消除隨身碟病毒,

但因為當你把隨身碟使用在外面的公用電腦(如公司電腦)就很容易再次感染,

有一些小建議是我目前在使用的方式提供參考,

應該可以降低再次感染的機率....^^b

 

1.使用「副檔名」以及用「詳細資料」檢視隨身碟

使用副檔名可以看到資料夾出現.exe的副檔名,

不過不習慣使用副檔名時,在更改檔名時可能會誤刪該副檔名致使無法更名,這是剛開始比較困擾的地方。

使用詳細資料檢視可以看到資料夾是否有檔案大小,

這是最簡單判斷的方式。

 

2.使用檔案總管開啟隨身碟

如果隨身碟本身已經感染病毒,

使用「我的電腦」去開啟隨身碟將會執行AUTORUN開啟惡意程式導致PC中毒,

而使用「檔案總管」利用左側的樹狀資料夾開啟隨身碟將不會執行AUTORUN。

 

3.關閉PC自動執行(autorun)的指令

a.使用登錄檔更改MountPoints2

b.停用Shell Hardware Detection 

上列更改方法請參考中研院「小心病毒就在USB中」。

 

4.避免交互感染

我在事務所最常遇到的情況是,

明明某台公用電腦我都有徹底殺毒,但為什麼不久後又中毒了,

後來發現最有可能是同事把家裡的毒帶來事務所了,

或著某一同事的電腦已經中毒,因為公用隨身碟或他自己隨身碟的使用而將病毒轉移到公用電腦

殺幾次毒後也懶得再殺了,

所以公用電腦往往是病毒的溫床,

用公用電腦使用隨身碟回存自己的電腦時,

照上列建議1.2.3.應該可以避免被感染的機會。

 

先用EFix把自己的電腦掃一掃吧!

平均分數:0 顆星    投票人數:0
我要評分:
回應
關鍵字

我不求自己有多麼高深的知識,
只希望自己有足夠的智慧去看待人生百態.....
我不會唸經頌佛,
我只知道,外來的一切事物都只是自己內心接受或拒絕的選擇而已....
自己啊自己,
當自己的主人,發自內心的去感受人生中的喜怒哀樂,
這樣的人生才有樂趣.....