作者kf181818 (摇屁屁)
看板MCU_Talk
标题[注意] 近期出现会删除全磁碟档案的病毒
时间Fri Jun 13 05:27:36 2008
※ [本文转录自 AntiVirus 看板]
作者: junorn (威廉华勒斯) 看板: AntiVirus
标题: [方案] 近期出现会删除全磁碟档案的病毒
时间: Wed Jun 4 15:07:05 2008
这毒9GY.....
目前特性我还不清楚,我必须要测试。(会删全磁碟的我看我测试系统准备要重灌..0rz)
不过目前已知
1.会在windows资料夹产生
,.exe档案
EX:c:\windows\,.exe
2.会在各磁碟根目录产生
,.exe和
autorun.inf档案
利用随身碟传拨...
EX: 随身碟代号F:
就写入F:\autorun.inf
F:\,.exe
autorun.inf的内容为
open=,.exe
3.会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
写入下列登录值,之後随开机启动
"HUI"="c:\windows\,.exe"
4.会於不知道什麽情形下
重开机後删除某一磁碟内的所有档案
清除方式:
1.先将,.exe这个程序停止,或者进入安全模式。
2.删除windows资料夹内的,.exe档案 (建议使用icesword)
3.将各磁碟内的autorun.inf档案以及,.exe删除
4.重新检查windows资料夹内有没有产生,.exe
5.没有的话就ok
喔对了补充一下:
这个目前在virustotal测试是没有一家抓的到的,顶多报壳
应该只是使用正常的批次程序吧我猜...
-----------------------------------------------------------
我会在EFix我正在写的测试版加入删除此档案..但没样本我只能用抓档名删除的方式
看来测试的版本要提早先发了...
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 210.68.130.155
1F:推 pao1985:好可怕的毒... 06/04 15:16
2F:推 liskenny:如果先用笨方法建一个,.exe的唯读假档挡的下来吗? 06/04 15:24
3F:推 maoa:请问如果档案已经被删 要先用FD救回档案再删病毒 还是先删毒 06/04 15:25
4F:→ maoa:再救档案? 谢谢 06/04 15:25
5F:→ junorn:被删除的档案磁碟不要动,然後病毒档先删 06/04 15:26
6F:→ junorn:to:liskenny 这个我就不清楚了样本刚拿到找时间试 06/04 15:27
7F:推 liskenny:谢谢板主回应,我想还是先去确认公司资料备份好了 06/04 15:39
※ 编辑: junorn 来自: 210.68.130.155 (06/04 15:50)
8F:→ bont:一开始中的时候发现硬碟一直跑 然後不给开工作管理员 06/04 16:07
9F:→ bont:用了至底闪光文它停了下来 从开机之後又是相同情况 06/04 16:12
10F:→ bont:刚刚接受J大指导删除了 现在从开机已经没有这个情况 06/04 16:12
11F:→ junorn:因为置底闪光文会将所有在跑的程式尝试停止下来 06/04 16:12
12F:→ junorn:但因为没删除他所以他开机後又会在启动,启动这段时间负责 06/04 16:13
13F:→ junorn:删除档案...0rz,好恶毒的程式。 06/04 16:13
14F:推 milen:AUTORUN是系统预设..所以改了就没效所以有用 06/04 16:25
15F:→ milen:,.EXE这种档名就算做了假档也没用..变种改一下就无效了 06/04 16:26
16F:→ milen:不过不知道C碟也一样砍吗?或是能砍的全砍?@_@ 06/04 16:26
17F:→ junorn:这点我也不清楚,前面几篇好像有一位是砍系统碟的.. 06/04 16:27
18F:推 milen:真是够GY.......... 06/04 16:41
19F:推 ysd:我已经将程序停止 但是删掉之後马上又出现 怎麽删都删不掉 T.T 06/04 17:21
20F:推 heber:这个GY病毒好可怕...~"~ 06/04 17:23
21F:→ everygay:想请问哪一些动作会比较容易中这个病毒? 06/04 17:45
22F:→ junorn:这个我就不清楚了,但是他有一个特性是透过随身碟 06/04 17:46
23F:→ junorn:所以多注意你的随身碟吧。 06/04 17:46
24F:推 daugh:请问是把autorun.inf删掉 还是把这个资料夹里的东西删掉? 06/04 18:28
25F:推 joycewanga:太可怕了这种毒 06/04 18:44
26F:推 skm032:如果AUTORUN已经有假档防疫,随身碟就不会传染了? 06/04 18:48
27F:→ fffkkl: 扫毒软体还没办法清这种毒吗 ? 06/04 18:54
28F:推 cutenoodle:昨天我们研究室一共有5人同时中标~很恐怖!! 06/04 19:37
29F:→ junorn:照道理来说EFix的CRC32侦测法应该可以直接干掉他,但一般人 06/04 19:43
30F:→ junorn:执行时习惯不关防毒软体..这让EFix没办法读取autorun.inf 06/04 19:43
31F:→ junorn:的内容造成无法从autorun.inf内容中读取CRC32的值 06/04 19:44
32F:→ junorn:就删不到了.... 06/04 19:44
33F:→ junorn:晚点会将新版的EFix摆上去就可以删了...抓档名砍0rz 06/04 19:47
34F:推 cisab:靠…左边走… 好机车的病毒 06/04 19:51
35F:推 NoCanDo:批次档病毒 = = 够狠 06/04 20:11
36F:推 TWcannon:我在我的随身牒看到 ,.exe 这样表示中标了吗= =" 06/04 20:30
37F:→ junorn:To:楼上,你答对了.. 06/04 20:30
38F:推 leoandgrace:好狠.. 06/04 20:38
39F:推 s109612044:所以..只要中了就随它爱杀哪里就杀哪里...是吗...~"~ 06/04 20:45
40F:推 everygay:可是如果看到,.exe,是不是会来不及档案就被删光光了? 06/04 21:02
41F:→ junorn:这我就不清楚了,因为我不知道他启动删除档案的时机。 06/04 21:08
42F:推 ysd:不会来不及,看运气...我看到那个档案已经有一个礼拜之久 在昨 06/04 21:16
43F:→ ysd:天...他就启动了T.T 结果用FD只救回档案夹而已 资料救不回来 06/04 21:17
44F:推 everygay:看来真的很严重.感谢j大热心研究,希望早日有防护方法 06/04 21:23
45F:→ junorn:置底EFix已更新,可直接删除此档案,有需要的人请下载使用 06/04 21:23
46F:→ junorn:但被删除的档案基本上....找救援软体吧我没能力解决。 06/04 21:23
47F:→ junorn:顺便问一下,HUI可能是哪一个姓吗?就姓名的姓 06/04 21:25
48F:推 everygay:应该是许,google找到的 06/04 21:27
49F:推 miamodo:许? 06/04 21:27
50F:→ junorn:感觉上不知道是哪个白目学生写的...在外面干黑客的应该不会 06/04 21:28
51F:→ junorn:这样干才是... 06/04 21:28
52F:→ everygay:好像也有"惠",不太清楚,好像蛮多种姓的 06/04 21:28
53F:→ junorn:而且似乎只有在学校才有在流行?外面还没看到过... 06/04 21:30
54F:推 everygay:看来最近不敢在学校用随身碟存取作业了,真要小心一点=_= 06/04 21:37
55F:推 terry1043:真的很缺德 最近nod32很容易扫到autorun...... 06/04 21:49
※ fantasycloud:转录至看板 NUU_IM 06/04 22:12
56F:推 nickcha:到底是从哪来的???最近也没用随身碟啊?? 06/04 22:18
57F:推 terry1043:区网会不会散布? 06/04 22:19
※ pearl0821:转录至看板 CSMU-MIS93 06/04 22:28
58F:推 pearl0821:借转班版~谢谢 06/04 22:28
59F:→ junorn:区网..不知道耶 06/04 22:29
60F:→ xiao:我有用undelete这软体救回被删除的资料 给大家做参考 06/04 22:31
※ laiyulai:转录至看板 NPUST 06/04 22:37
61F:推 terry1043:借转校BBS 06/04 22:44
※ tantalas:转录至看板 TTU-I91A 06/04 22:51
62F:推 imgoes:有在家里电脑中奖的吗? 06/04 23:23
63F:推 nickcha:me 06/04 23:40
64F:→ angnus:重点文转版,感谢orz 06/04 23:40
※ angnus:转录至看板 TaichungBun 06/04 23:40
65F:推 cafardpurple:借转感谢 06/04 23:43
※ cafardpurple:转录至看板 CSMU-MED93 06/04 23:44
66F:推 moominy:借转~~感恩~~ 06/05 00:06
※ moominy:转录至看板 KSU 06/05 00:07
※ gin0111:转录至看板 CHNA 06/05 00:23
※ spirit427:转录至看板 ISU_MSE_93 06/05 00:24
※ kikini916:转录至看板 Chiayi 06/05 00:45
※ duban:转录至看板 DYU 06/05 00:58
67F:推 c155325:找不到下载怎麽办(不要把我放到笨版,拜托) 06/05 00:59
68F:→ junorn:置底前面有写闪光那一篇 06/05 01:13
69F:推 c155325:没看到说 06/05 01:22
70F:→ junorn:那你置底几篇都看一下吧,有一篇推到爆的 06/05 01:23
71F:推 c155325:找到了,感谢你的大恩大德 06/05 01:27
※ freeshady:转录至看板 HSNU_976 06/05 01:50
※ ps2:转录至看板 ck53rd320 06/05 02:37
※ will0921:转录至看板 NCYU_DMI_96 06/05 08:10
72F:推 kto0623:不好意思 借转回我学校@@ 我校随身碟病毒到处泛滥 06/05 09:13
73F:→ kto0623:借转会完全复制作者姓名与出处,如有不妥还请通知我喔 谢 06/05 09:14
74F:→ junorn:没关系要转的就直接转就好了。 06/05 09:16
※ kevinsosa:转录至看板 FCU_EE_SB 06/05 10:05
※ OnnSennKame:转录至看板 NCYU_DMI_97 06/05 10:43
※ 编辑: junorn 来自: 210.68.130.155 (06/05 12:49)
※ 编辑: junorn 来自: 210.68.130.155 (06/05 12:49)
75F:推 saicouter:借转 谢谢 06/05 13:06
76F:推 kkds:借转 谢谢! 06/05 13:11
※ kkds:转录至看板 NTHU_STAT95 06/05 13:12
※ JFCC:转录至某隐形看板 06/05 13:44
※ lavender717:转录至看板 FCU_EE97A 06/05 14:08
77F:推 newdark:借转谢谢~ 06/05 17:55
※ newdark:转录至看板 NDHU_MSE94 06/05 17:55
78F:推 chemical1223:借转 谢谢 06/05 20:18
※ chemical1223:转录至看板 MIT 06/05 20:18
79F:推 cdjemmy:借转回外站个人版,谢谢!! 06/05 21:46
80F:推 janet6:借转 谢谢 06/05 22:11
※ janet6:转录至看板 TNNUA_AH_94 06/05 22:11
81F:推 HunterTin:借转至外站个人版,谢谢! 06/06 01:43
※ ys5123:转录至看板 TKU_ACC_95A 06/06 23:32
※ tefa:转录至看板 NCUIM96 06/07 16:05
82F:→ tefa:藉转班版~ 06/07 16:06
83F:推 ssaume:借转班板 06/07 16:45
※ ssaume:转录至看板 NKHS-93-H3B 06/07 16:45
※ yoshigo:转录至看板 NTUA_GCA94 06/09 09:40
84F:推 tearslight:借转外站个人版<(_ _)> 06/10 00:19
85F:推 timkaog:借转班板 06/12 19:39
※ timkaog:转录至看板 KS96-305 06/12 19:39
※ timkaog:转录至看板 NTHU-MSE11 06/12 19:41
86F:推 adeepelf:借转 06/12 22:00
※ adeepelf:转录至看板 NDHU_MSE93 06/12 22:00
87F:推 jamesclock:借转班版 06/13 01:04
※ jamesclock:转录至看板 CCSH_89_317 06/13 01:05
--
╭──╭╦═╮──────☆─═╦╦╮─★──────☆─╮
★ ╠╣╰╦╔╗ ╮ . ╠╣ ╔╦═╮ . │
│ ‧╠╣. ║╠╣ .║═╦╦╮. ╠╣ ╠╬═╣╔╦═╮. │
│ . ╰╩═╯╠╣. ║. ╠╣ . ╚╝ ╠╣‧║╠╬╦╯‧ │
│ . ‧ ╰╩═╯ ╠╣ . . ╚╝ ╰╠╣╰╮ ★
╰☆───────★─╰╩╩═─☆──────╚╝─╰──╯
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 118.161.43.59
※ 编辑: kf181818 来自: 118.161.43.59 (06/13 12:21)