安规网

标题: U盘免疫 [打印本页]
作者: fasten    时间: 2009-11-10 10:45
标题: U盘免疫
一个新U盘又在别人电脑上中招了,所以要考虑新U盘免疫,以下是具体实现方法:

免疫方法:
  首先打开命令提示符(在开始菜单>运行,输入cmd,回车)
  然后键入U盘盘符
  再输入以下内容(输一行打一个回车)
  mkdir autorun.inf
  attrib autorun.inf +s +h
  cd autorun.inf
  mkdir abc..\

或者:
如果你自己创建一个autorun.inf放在U盘里,那么病毒是可以将其删除掉并将自己的autorun.inf复制进去的。但是如果利用XP的文件命名规则做文章,病毒就无计可施了。首先在“运行”里面输入CMD然后回车,在弹出的CMD窗口里面输入 X: (X为你的U盘盘符)回车,它显示X:>
然后输入md autorun.inf 回车
上面这句的意思是建立一个文件夹名为autorun.inf
然后再输入 attrib autorun.inf +r +h +s
这句的意思是将autorun.inf赋予只读、隐藏、系统文件属性,这样当病毒试图将自身的autorun.inf复制到U盘时,就会出错,因为存在重名文件。这样病毒就无法通过U盘在别的电脑上启动了!

本人中的是:文件夹EXE病毒

  同名文件夹EXE病毒:

  木马名称:Worm.Win32.AutoRun.soq

  当你把你的U盘插入到一台电脑后,突然发现U盘内生成了以文件夹名字命名的文件,扩展名为exe,更要命的是它们的图标跟文件夹是一样的,很具有迷惑性。
  一、病毒原理及相关分析

  一台电脑中毒后,电脑里面会有一个 XP-****.exe(其中****是一个大写字母与数字混合,如XP-02B94AC1.exe)的类似XP补丁的进程以及D7F45.exe的类似进程,同时建立D7F45.exe及一个文件夹的几个启动项,当你插入U盘后,它会把原文件夹隐身,同时建立同名的EXE文件夹,例如 软件.exe 这样的病毒文件夹,文件夹大小为1.44M,不知道的人双击就会中毒。

  病毒名称:Worm.Win32.AutoRun.soq

  病毒类型:蠕虫类

  危害级别:3

  感染平台:Windows

  病毒行为:

  1、病毒运行后会释放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位随机)(其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件,而是汉语编程易语言的支持库文件)到系统盘的\WINDOWS\system32里面

  2、新增以下注册表项,已达到病毒随系统启动而自启动的目的。

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  注册表值:XP-290F2C69(后8位随机)

  类型:REG_SZ

  值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机)

  3、添加以下启动项,实现病毒自启动:

  “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”指向病毒文件。

  4、下载病毒文件: hxxp://df-123.cn/v.gif(16,896 字节)保存为以下文件,并且运行它们:

  %Windir%\System32\winvcreg.exe

  %Windir%\System32\2080.EXE (名称随机)

  5、被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到病毒随移动磁盘传播的目的。

  二、解决方案

  专杀清除方法:

  下载瑞星等杀毒软件。(网上有免费正版的,只不过好像只能使用半年左右)

  手工清除方法:

  1、结束病毒进程。打开超级巡警,选择进程管理功能,终止进程XP-290F2C69.EXE(后8位随机),winvcreg.exe,2080.exe(随机名)。

  2、删除病毒在System32生成的以下文件:

  com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(随机名)

  3、删除病毒的启动项,删除以下启动项:

  “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位随机);

  “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”。

  4、手工删除后缀为exe的文件,然后显示被隐藏的文件夹。点击“开始”---“运行”----输入“cmd” ,进入命令提示符,然后进入你U盘所在的根目录,具体操作如下,比如你的U盘盘符位G,那么就输入“g:”在回车就可以了。最后,输入如下命令:attrib -r -a -s -h *.* /s /d。

  三、安全建议

  养成右键打开U盘的习惯,建议安装360安全卫士

  或者是开启USBCleaner的Usbmon.exe保护程序

  这个毒是小毒来的,只要你装了360,开启了除ARP防火墙(可根据个人再开启)其余的实时保护,就不再怕那个毒了

  虽然是小毒,但是safe360最新版(比如目前的5.0)、KAV7.0、NOD32 EAV3.0版、NOD32 ESS3.0版都杀不了这个毒,甚至查都查不出来,当然,病毒库都是最新的,除了专杀好象其他杀软都对这个毒忽略了,让我感到意外的是瑞星居然还能查杀,虽然我对瑞星的杀毒能力一直持怀疑态度,这个毒的数据我也提交了好几次,但是杀软和这个毒一直相安无事。

  最新消息,目前KAV7.0的最新病毒库已经能查杀该病毒了(可能是变种)

  NOD32 4.0也可以查杀了
作者: fengjunping    时间: 2009-11-10 10:51
試一下先。
作者: chengming    时间: 2009-11-10 11:37
近来“u盘杀手”新变种挺厉害,要加强防范。
作者: xiaoxiangtongzi    时间: 2009-11-12 19:16
呵呵。一直用的U盘免疫的。
很多人带糯虫病毒的U盘到我电脑上,就被报警并清理了。
  [s:3]
作者: rindon    时间: 2009-12-1 19:18
貌似不行啊
作者: ph2684607    时间: 2009-12-22 13:26
呵呵。一直用的U盘免疫的。
很多人带糯虫病毒的U盘到我电脑上,就被报警并清理了。
作者: 放开那姑娘    时间: 2009-12-22 13:38
U盘就是传播病毒的工具



欢迎光临 安规网 (http://bbs.angui.org/) Powered by Discuz! X3.2