※ [本文轉錄自 NTUE_Nse98 看板] 作者: issacs (艾薩斯) 看板: NTUE_Nse98 標題: [轉錄][轉錄][研究] 隨身碟病毒(INFO.exe) 時間: Sat Jun 16 16:02:26 2007 ※ [本文轉錄自 C_Chat 看板] 作者: comsboy (C_Chat版 歡迎你) 看板: C_Chat 標題: [轉錄][研究] 隨身碟病毒(INFO.exe) 時間: Fri Jun 15 01:09:42 2007 ※ [本文轉錄自 AntiVirus 看板] 作者: skypray (向天再借五百年) 看板: AntiVirus 標題: [研究] 隨身碟病毒(INFO.exe) 時間: Fri Jan 19 15:45:17 2007 看到板上不少人在分享隨身碟病毒的研究心得， 那我也提供我在自己學校BBS站流傳的版本好了， 這裡面有些是我同學提供的心得，我有一一標在上面， 從病理機轉一直寫到如何治療，希望也能幫助到一些人就是， 有興趣了解這隻病毒的也可參考看看，不過我不知道要怎麼寫懶人包啦， 所以有耐心的板眾就慢慢看吧，沒有耐心的就看別人的解法比較快囉... 【前言】 2006.12.12晚上發現我的桌上型電腦已中毒，卡巴斯基也發現不出此病毒， 想要徹底研究病毒，卻又不小心讓我家另一台筆電也一起中毒， 然後用卡巴斯基把筆電裡程式有變動的地方記錄調出來...... 總算釐清了此病的病理機轉，目前暫且稱它為INFO，此病毒是2006/12/7誕生的。 【病理】 為什麼要用RECYCLER做為它的躲藏處？我們先來看看檔案結構... 1.惡名昭彰的autorun.inf (感染之必要條件) [autorun] open= shell\open\Command=RECYCLER\INFO.exe shell\open\Default=1 shell\explore\Command=RECYCLER\INFO.exe 2.在RECYCLER資料夾裡，有desktop.inf 這個用來讓RECYCLER資料夾，有著資源回收桶功能，即檔案可回復至特定位置。 3.在RECYCLER資料夾裡,有INFO.exe 這個是病毒核心程式 在插入隨身碟，從我的電腦直接按2下進入後，autorun.inf會呼叫INFO.exe開始運作， (可能還有U.exe，功能機轉不明, by Skypray Huang, 2006.1.19) RECYCLER有著資源回收桶的功能，可以把svchost.exe這個檔案(注意是小寫)， 回復至C:\Windows\system (正常的SVCHOST.EXE是放在C:\Windows\SYSTEM32，且是大寫) 然後會幫你執行了svchost.exe，這時按Ctrl+Alt+Del， 會看到此程式svchost.exe正在運作，但是因為系統本身也有SVCHOST.EXE， 所以大家會不以為意，沒注意到大小寫不同，其實檔案就是不同的來源了， 只要一有新的隨身碟插入，會自動把3大檔案植入你新的隨身碟， 如果你把隨身碟的3大檔案刪掉，中毒的電腦會重新將那3個檔案寫入隨身碟。 另外在C:\Windows\system下尚有「_sv_CMD_」資料夾， 裡面有_U_.exe和U.exe，機轉和作用尚不明確。 最近研究發現，在寫入svchost.exe至C:\Windows\system是強制性的， 因為我們曾試圖將一個空白的svchost.exe預先放入C:\Windows\system並選擇唯讀， 以便觀察病毒就無法因此感染電腦，結果發現： 病毒照樣能夠自行產生具感染力的svchost.exe來蓋過我們所創造的空白檔。 (by Skypray Huang, 2006.1.19) 此病毒另一很賊的地方，就是會讓你看不到RECYCLER裡面的檔案， 即使你開啟顯示所有檔案也一樣，所以要讓裡面檔案現形的方法， 就是把RECYCLER的唯讀和保存屬性拿掉，並同時套用至整個資料夾內的檔案。 【治療】 按Ctrl+Alt+Del進入工作管理員把那svchost.exe關閉。 在「程序處理」頁面確定你看到了「影像名稱」和「使用者名稱」， 沒有「使用者名稱」的話請到「檢視」「選擇欄位」將它勾選即可看到， 之後將「使用者名稱」不是SYSTEM、NETWORK SERVICE、LOCAL SERVICE 這三種的svchost.exe關閉即可。(by Zzjames Wu, Douglas Chang, 2006.12.12) 然後刪除C:\Windows\system\svchost.exe(若前述動作有關對檔案，必可成功)， 另外在C:\Windows\system下尚有「_sv_CMD_」資料夾，裡面有_U_.exe和U.exe， 記得也要把此資料夾一併清除(by Skypray Huang, 2006.1.19)， 最後是砍掉隨身碟裡的那3大檔案，不過當你發現有這程式在執行時， 你的所有磁碟可能都中毒了，記的除了C槽外、D槽等等硬碟也看看， 是否有那些隨身碟有的那3大檔案(by Zzjames Wu, 2006.12.12)， 最後，要讓它完全了無痕跡的話，我們還需要個工具「HijackThis」 http://www.filehippo.com/download_hijackthis/ 解壓執行後，選擇「Do a system scan only」，看到以下這一行： F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\svchost.exe 勾選並點擊下方的「Fix checked」(by Douglas Chang, 2006.12.12)， 全部砍除完，即可解毒成功， 不過是否根治，至少不會再有新的病毒被寫入隨身碟裡去了。 經最新研究發現，砍除完有免疫效果，即該隻病毒無法再以相同的途徑感染， 可能是病毒會檢查電腦中的某個位置是否有被感染的痕跡，再決定是否感染， 但是目前尚無法找出該痕跡的位置。(by Skypray Huang, 2006.1.19) 治療隨身碟(即砍除3大檔案)的方法 (1)工具→資料夾選項→檢視→檔案和資料夾→隱藏保護的作業系統檔案(這個勾去掉) (2)工具→資料夾選項→檢視→檔案和資料夾→隱藏檔案和資料夾→ 顯示所有檔案和資料夾 (3)插入隨身碟後→進入資料夾裡， 但不可在我的電腦中左鍵點2下進入，請善用右鍵→檔案總管再進入， *如果還是進不了，可在「我的電腦」內的上方網址列， 直接打入磁碟機代號(例如「E:」、「F:」...)(by Skypray Huang, 2006.1.19) (4)刪了autorun.inf和RECYCLER目錄 (5)拔除隨身碟，即解毒完成。 補充：若有檔案刪除不了者，可以至　http://ccollomb.free.fr/unlocker 下載Unlocker 1.8.5，安裝好後在想要刪的檔案按右鍵再選解鎖， 即可刪除被鎖定的檔案。(by Skypray Huang, 2006.1.19) 【結論】 此類病毒不斷有新變種(目前已知有driveinfo,info等)， 目前正以極快的速度四處蔓延和擴散至各地， 因此提供此研究方法，讓大家得以防患未知之病毒。 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 163.15.151.216 ※ 編輯: skypray 來自: 163.15.151.216 (01/19 15:46) ※ fbi1984:轉錄至看板 RSSH91_302 05/08 15:29 -- 　　　　　　　　　　　　　一天不糟糕，就會睡不著 　　　　　　　　　　　　　每天都糟糕，身體特別好 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.203.143.211 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.121.113.13 -- ３！ 　 　▲ ２！　▲▲　１！　 傳說開始... --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.138.61.251