作者gin0111 (逆風的方向~更適合飛翔~)
看板CHNA
標題[轉錄][方案] 近期出現會刪除全磁碟檔案的病毒
時間Thu Jun 5 00:23:30 2008
※ [本文轉錄自 AntiVirus 看板]
作者: junorn (威廉華勒斯) 看板: AntiVirus
標題: [方案] 近期出現會刪除全磁碟檔案的病毒
時間: Wed Jun 4 15:07:05 2008
這毒9GY.....
目前特性我還不清楚,我必須要測試。(會刪全磁碟的我看我測試系統準備要重灌..0rz)
不過目前已知
1.會在windows系統磁碟產生
,.exe檔案
EX:c:\windows\,.exe
2.會在個磁碟根目錄產生
,.exe和
autorun.inf檔案
利用隨身碟傳撥...
EX: 隨身碟代號F:
就寫入F:\autorun.inf
F:\,.exe
autorun.inf的內容為
open=,.exe
3.會在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
寫入下列登錄值,之後隨開機啟動
"HUI"="c:\windows\,.exe"
4.會於不知道什麼情形下
重開機後刪除某一磁碟內的所有檔案
清除方式:
1.先將,.exe這個程序停止,或者進入安全模式。
2.刪除windows資料夾內的,.exe檔案 (建議使用icesword)
3.將各磁碟內的autorun.inf檔案以及,.exe刪除
4.重新檢查windows資料夾內有沒有產生,.exe
5.沒有的話就ok
喔對了補充一下:
這個目前在virustotal測試是沒有一家抓的到的,頂多報殼
應該只是使用正常的批次程序吧我猜...
-----------------------------------------------------------
我會在EFix我正在寫的測試版加入刪除此檔案..但沒樣本我只能用抓檔名刪除的方式
看來測試的版本要提早先發了...
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 210.68.130.155
1F:推 pao1985:好可怕的毒... 06/04 15:16
2F:推 liskenny:如果先用笨方法建一個,.exe的唯讀假檔擋的下來嗎? 06/04 15:24
3F:推 maoa:請問如果檔案已經被刪 要先用FD救回檔案再刪病毒 還是先刪毒 06/04 15:25
4F:→ maoa:再救檔案? 謝謝 06/04 15:25
5F:→ junorn:被刪除的檔案磁碟不要動,然後病毒檔先刪 06/04 15:26
6F:→ junorn:to:liskenny 這個我就不清楚了樣本剛拿到找時間試 06/04 15:27
7F:推 liskenny:謝謝板主回應,我想還是先去確認公司資料備份好了 06/04 15:39
※ 編輯: junorn 來自: 210.68.130.155 (06/04 15:50)
8F:→ bont:一開始中的時候發現硬碟一直跑 然後不給開工作管理員 06/04 16:07
9F:→ bont:用了至底閃光文它停了下來 從開機之後又是相同情況 06/04 16:12
10F:→ bont:剛剛接受J大指導刪除了 現在從開機已經沒有這個情況 06/04 16:12
11F:→ junorn:因為置底閃光文會將所有在跑的程式嘗試停止下來 06/04 16:12
12F:→ junorn:但因為沒刪除他所以他開機後又會在啟動,啟動這段時間負責 06/04 16:13
13F:→ junorn:刪除檔案...0rz,好惡毒的程式。 06/04 16:13
14F:推 milen:AUTORUN是系統預設..所以改了就沒效所以有用 06/04 16:25
15F:→ milen:,.EXE這種檔名就算做了假檔也沒用..變種改一下就無效了 06/04 16:26
16F:→ milen:不過不知道C碟也一樣砍嗎?或是能砍的全砍?@_@ 06/04 16:26
17F:→ junorn:這點我也不清楚,前面幾篇好像有一位是砍系統碟的.. 06/04 16:27
18F:推 milen:真是夠GY.......... 06/04 16:41
19F:推 ysd:我已經將程序停止 但是刪掉之後馬上又出現 怎麼刪都刪不掉 T.T 06/04 17:21
20F:推 heber:這個GY病毒好可怕...~"~ 06/04 17:23
21F:→ everygay:想請問哪一些動作會比較容易中這個病毒? 06/04 17:45
22F:→ junorn:這個我就不清楚了,但是他有一個特性是透過隨身碟 06/04 17:46
23F:→ junorn:所以多注意你的隨身碟吧。 06/04 17:46
24F:推 daugh:請問是把autorun.inf刪掉 還是把這個資料夾裡的東西刪掉? 06/04 18:28
25F:推 joycewanga:太可怕了這種毒 06/04 18:44
26F:推 skm032:如果AUTORUN已經有假檔防疫,隨身碟就不會傳染了? 06/04 18:48
27F:→ fffkkl: 掃毒軟體還沒辦法清這種毒嗎 ? 06/04 18:54
28F:推 cutenoodle:昨天我們研究室一共有5人同時中標~很恐怖!! 06/04 19:37
29F:→ junorn:照道理來說EFix的CRC32偵測法應該可以直接幹掉他,但一般人 06/04 19:43
30F:→ junorn:執行時習慣不關防毒軟體..這讓EFix沒辦法讀取autorun.inf 06/04 19:43
31F:→ junorn:的內容造成無法從autorun.inf內容中讀取CRC32的值 06/04 19:44
32F:→ junorn:就刪不到了.... 06/04 19:44
33F:→ junorn:晚點會將新版的EFix擺上去就可以刪了...抓檔名砍0rz 06/04 19:47
34F:推 cisab:靠…左邊走… 好機車的病毒 06/04 19:51
35F:推 NoCanDo:批次檔病毒 = = 夠狠 06/04 20:11
36F:推 TWcannon:我在我的隨身牒看到 ,.exe 這樣表示中標了嗎= =" 06/04 20:30
37F:→ junorn:To:樓上,你答對了.. 06/04 20:30
38F:推 leoandgrace:好狠.. 06/04 20:38
39F:推 s109612044:所以..只要中了就隨它愛殺哪裡就殺哪裡...是嗎...~"~ 06/04 20:45
40F:推 everygay:可是如果看到,.exe,是不是會來不及檔案就被刪光光了? 06/04 21:02
41F:→ junorn:這我就不清楚了,因為我不知道他啟動刪除檔案的時機。 06/04 21:08
42F:推 ysd:不會來不及,看運氣...我看到那個檔案已經有一個禮拜之久 在昨 06/04 21:16
43F:→ ysd:天...他就啟動了T.T 結果用FD只救回檔案夾而已 資料救不回來 06/04 21:17
44F:推 everygay:看來真的很嚴重.感謝j大熱心研究,希望早日有防護方法 06/04 21:23
45F:→ junorn:置底EFix已更新,可直接刪除此檔案,有需要的人請下載使用 06/04 21:23
46F:→ junorn:但被刪除的檔案基本上....找救援軟體吧我沒能力解決。 06/04 21:23
47F:→ junorn:順便問一下,HUI可能是哪一個姓嗎?就姓名的姓 06/04 21:25
48F:推 everygay:應該是許,google找到的 06/04 21:27
49F:推 miamodo:許? 06/04 21:27
50F:→ junorn:感覺上不知道是哪個白目學生寫的...在外面幹黑客的應該不會 06/04 21:28
51F:→ junorn:這樣幹才是... 06/04 21:28
52F:→ everygay:好像也有"惠",不太清楚,好像蠻多種姓的 06/04 21:28
53F:→ junorn:而且似乎只有在學校才有在流行?外面還沒看到過... 06/04 21:30
54F:推 everygay:看來最近不敢在學校用隨身碟存取作業了,真要小心一點=_= 06/04 21:37
55F:推 terry1043:真的很缺德 最近nod32很容易掃到autorun...... 06/04 21:49
※ fantasycloud:轉錄至看板 NUU_IM 06/04 22:12
56F:推 nickcha:到底是從哪來的???最近也沒用隨身碟啊?? 06/04 22:18
57F:推 terry1043:區網會不會散布? 06/04 22:19
※ pearl0821:轉錄至看板 CSMU-MIS93 06/04 22:28
58F:推 pearl0821:借轉班版~謝謝 06/04 22:28
59F:→ junorn:區網..不知道耶 06/04 22:29
60F:→ xiao:我有用undelete這軟體救回被刪除的資料 給大家做參考 06/04 22:31
※ laiyulai:轉錄至看板 NPUST 06/04 22:37
61F:推 terry1043:借轉校BBS 06/04 22:44
※ tantalas:轉錄至看板 TTU-I91A 06/04 22:51
62F:推 imgoes:有在家裡電腦中獎的嗎? 06/04 23:23
63F:推 nickcha:me 06/04 23:40
64F:→ angnus:重點文轉版,感謝orz 06/04 23:40
※ angnus:轉錄至看板 TaichungBun 06/04 23:40
65F:推 cafardpurple:借轉感謝 06/04 23:43
※ cafardpurple:轉錄至看板 CSMU-MED93 06/04 23:44
66F:推 moominy:借轉~~感恩~~ 06/05 00:06
※ moominy:轉錄至看板 KSU 06/05 00:07
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.127.66.75
67F:推 kikini916:天阿!!我之前D曹檔案不見就是因為這個.....T_________T 06/05 00:25
68F:推 uniqueworm:可以請問樓上怎麼中毒的嗎...@@ 06/05 00:30
69F:推 mmfgfc:我想系辦應該也是中這個 超慘 06/05 00:31
70F:推 uniqueworm:今天本來要去系辦印報告的..可是公告USB不給插..@@ 06/05 00:35
71F:推 kikiwiwi:我中了 d槽無緣無故全不見了 全刪光 06/05 00:35
72F:→ kikini916:這個病毒超恐怖 ㄧ開始工作管理員會打不開 然後關機再 06/05 00:40
73F:→ kikini916:開機後 D槽檔案通通不見 = = 哭~而且我還不見兩次 06/05 00:40
74F:推 despaired:AntiVirus 置底閃光文可以清掉 今天才幫同學清 06/05 00:41
75F:推 kikini916:剛剛清完了 我的工作管理員終於可以打開了 感動!! 06/05 00:42
76F:推 jamie5408:之前中過了,當時被騙所以關掉防毒,資料就被砍光了囧 06/05 00:49
77F:推 mmfgfc:就是因為種了 才不讓大家插了ㄚ 再次驗證了我的愛滋病理論 06/05 02:04