※ [本文转录自 NTUE_Nse98 看板] 作者: issacs (艾萨斯) 看板: NTUE_Nse98 标题: [转录][转录][研究] 随身碟病毒(INFO.exe) 时间: Sat Jun 16 16:02:26 2007 ※ [本文转录自 C_Chat 看板] 作者: comsboy (C_Chat版 欢迎你) 看板: C_Chat 标题: [转录][研究] 随身碟病毒(INFO.exe) 时间: Fri Jun 15 01:09:42 2007 ※ [本文转录自 AntiVirus 看板] 作者: skypray (向天再借五百年) 看板: AntiVirus 标题: [研究] 随身碟病毒(INFO.exe) 时间: Fri Jan 19 15:45:17 2007 看到板上不少人在分享随身碟病毒的研究心得， 那我也提供我在自己学校BBS站流传的版本好了， 这里面有些是我同学提供的心得，我有一一标在上面， 从病理机转一直写到如何治疗，希望也能帮助到一些人就是， 有兴趣了解这只病毒的也可参考看看，不过我不知道要怎麽写懒人包啦， 所以有耐心的板众就慢慢看吧，没有耐心的就看别人的解法比较快罗... 【前言】 2006.12.12晚上发现我的桌上型电脑已中毒，卡巴斯基也发现不出此病毒， 想要彻底研究病毒，却又不小心让我家另一台笔电也一起中毒， 然後用卡巴斯基把笔电里程式有变动的地方记录调出来...... 总算厘清了此病的病理机转，目前暂且称它为INFO，此病毒是2006/12/7诞生的。 【病理】 为什麽要用RECYCLER做为它的躲藏处？我们先来看看档案结构... 1.恶名昭彰的autorun.inf (感染之必要条件) [autorun] open= shell\open\Command=RECYCLER\INFO.exe shell\open\Default=1 shell\explore\Command=RECYCLER\INFO.exe 2.在RECYCLER资料夹里，有desktop.inf 这个用来让RECYCLER资料夹，有着资源回收桶功能，即档案可回复至特定位置。 3.在RECYCLER资料夹里,有INFO.exe 这个是病毒核心程式 在插入随身碟，从我的电脑直接按2下进入後，autorun.inf会呼叫INFO.exe开始运作， (可能还有U.exe，功能机转不明, by Skypray Huang, 2006.1.19) RECYCLER有着资源回收桶的功能，可以把svchost.exe这个档案(注意是小写)， 回复至C:\Windows\system (正常的SVCHOST.EXE是放在C:\Windows\SYSTEM32，且是大写) 然後会帮你执行了svchost.exe，这时按Ctrl+Alt+Del， 会看到此程式svchost.exe正在运作，但是因为系统本身也有SVCHOST.EXE， 所以大家会不以为意，没注意到大小写不同，其实档案就是不同的来源了， 只要一有新的随身碟插入，会自动把3大档案植入你新的随身碟， 如果你把随身碟的3大档案删掉，中毒的电脑会重新将那3个档案写入随身碟。 另外在C:\Windows\system下尚有「_sv_CMD_」资料夹， 里面有_U_.exe和U.exe，机转和作用尚不明确。 最近研究发现，在写入svchost.exe至C:\Windows\system是强制性的， 因为我们曾试图将一个空白的svchost.exe预先放入C:\Windows\system并选择唯读， 以便观察病毒就无法因此感染电脑，结果发现： 病毒照样能够自行产生具感染力的svchost.exe来盖过我们所创造的空白档。 (by Skypray Huang, 2006.1.19) 此病毒另一很贼的地方，就是会让你看不到RECYCLER里面的档案， 即使你开启显示所有档案也一样，所以要让里面档案现形的方法， 就是把RECYCLER的唯读和保存属性拿掉，并同时套用至整个资料夹内的档案。 【治疗】 按Ctrl+Alt+Del进入工作管理员把那svchost.exe关闭。 在「程序处理」页面确定你看到了「影像名称」和「使用者名称」， 没有「使用者名称」的话请到「检视」「选择栏位」将它勾选即可看到， 之後将「使用者名称」不是SYSTEM、NETWORK SERVICE、LOCAL SERVICE 这三种的svchost.exe关闭即可。(by Zzjames Wu, Douglas Chang, 2006.12.12) 然後删除C:\Windows\system\svchost.exe(若前述动作有关对档案，必可成功)， 另外在C:\Windows\system下尚有「_sv_CMD_」资料夹，里面有_U_.exe和U.exe， 记得也要把此资料夹一并清除(by Skypray Huang, 2006.1.19)， 最後是砍掉随身碟里的那3大档案，不过当你发现有这程式在执行时， 你的所有磁碟可能都中毒了，记的除了C槽外、D槽等等硬碟也看看， 是否有那些随身碟有的那3大档案(by Zzjames Wu, 2006.12.12)， 最後，要让它完全了无痕迹的话，我们还需要个工具「HijackThis」 http://www.filehippo.com/download_hijackthis/ 解压执行後，选择「Do a system scan only」，看到以下这一行： F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\svchost.exe 勾选并点击下方的「Fix checked」(by Douglas Chang, 2006.12.12)， 全部砍除完，即可解毒成功， 不过是否根治，至少不会再有新的病毒被写入随身碟里去了。 经最新研究发现，砍除完有免疫效果，即该只病毒无法再以相同的途径感染， 可能是病毒会检查电脑中的某个位置是否有被感染的痕迹，再决定是否感染， 但是目前尚无法找出该痕迹的位置。(by Skypray Huang, 2006.1.19) 治疗随身碟(即砍除3大档案)的方法 (1)工具→资料夹选项→检视→档案和资料夹→隐藏保护的作业系统档案(这个勾去掉) (2)工具→资料夹选项→检视→档案和资料夹→隐藏档案和资料夹→ 显示所有档案和资料夹 (3)插入随身碟後→进入资料夹里， 但不可在我的电脑中左键点2下进入，请善用右键→档案总管再进入， *如果还是进不了，可在「我的电脑」内的上方网址列， 直接打入磁碟机代号(例如「E:」、「F:」...)(by Skypray Huang, 2006.1.19) (4)删了autorun.inf和RECYCLER目录 (5)拔除随身碟，即解毒完成。 补充：若有档案删除不了者，可以至　http://ccollomb.free.fr/unlocker 下载Unlocker 1.8.5，安装好後在想要删的档案按右键再选解锁， 即可删除被锁定的档案。(by Skypray Huang, 2006.1.19) 【结论】 此类病毒不断有新变种(目前已知有driveinfo,info等)， 目前正以极快的速度四处蔓延和扩散至各地， 因此提供此研究方法，让大家得以防患未知之病毒。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 163.15.151.216 ※ 编辑: skypray 来自: 163.15.151.216 (01/19 15:46) ※ fbi1984:转录至看板 RSSH91_302 05/08 15:29 -- 　　　　　　　　　　　　　一天不糟糕，就会睡不着 　　　　　　　　　　　　　每天都糟糕，身体特别好 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 203.203.143.211 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 59.121.113.13 -- ３！ 　 　▲ ２！　▲▲　１！　 传说开始... --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.138.61.251