安规网

 找回密码
 注册安规
安规论坛 | 仪器设备 | 求职招聘 | 国家标准 公告 | 教程 | 家电 | 灯具 | 环保 | ITAV 签到 充值 在线 打卡 设备 好友| 帖子| 空间| 日志| 相册
IP淋雨机 | 证书查询 | 规范下载 | 资质查询 招聘 | 考试 | 线缆 | 玩具 | 标准 | 综 合 红包 邮箱 打卡 工资 禁言 分享| 记录| 道具| 勋章| 任务
水平垂直燃烧机 | 针焰 | 灼热丝 | 漏电起痕
IP防水防尘设备|拉力机|恒温恒湿|标准试验指
灯头量规|插头量规|静风烤箱|电池设备|球压
万年历 | 距元旦节还有
自2007年5月10日,安规网已运行
IP淋雨设备| 恒温恒湿箱| 拉力机| 医疗检测设备沙特Saber 埃及COI 中东GCC|CoC直接发证机构水平垂直燃烧机|灼热丝|针焰试验机|漏电起痕试验机
灯头量规|试验指|插头插座量规|灯具检测设备耐划痕试验机|可程式恒温恒湿试验箱 | 耦合器设备广东安规-原厂生产-满足标准-审核无忧
查看: 2516|回复: 6

[系统与杀毒] U盘免疫

[复制链接]
发表于 2009-11-10 10:45 | 显示全部楼层 |阅读模式
广东安规检测
有限公司提供:
一个新U盘又在别人电脑上中招了,所以要考虑新U盘免疫,以下是具体实现方法:

免疫方法:
  首先打开命令提示符(在开始菜单>运行,输入cmd,回车)
  然后键入U盘盘符
  再输入以下内容(输一行打一个回车)
  mkdir autorun.inf
  attrib autorun.inf +s +h
  cd autorun.inf
  mkdir abc..\

或者:
如果你自己创建一个autorun.inf放在U盘里,那么病毒是可以将其删除掉并将自己的autorun.inf复制进去的。但是如果利用XP的文件命名规则做文章,病毒就无计可施了。首先在“运行”里面输入CMD然后回车,在弹出的CMD窗口里面输入 X: (X为你的U盘盘符)回车,它显示X:>
然后输入md autorun.inf 回车
上面这句的意思是建立一个文件夹名为autorun.inf
然后再输入 attrib autorun.inf +r +h +s
这句的意思是将autorun.inf赋予只读、隐藏、系统文件属性,这样当病毒试图将自身的autorun.inf复制到U盘时,就会出错,因为存在重名文件。这样病毒就无法通过U盘在别的电脑上启动了!

本人中的是:文件夹EXE病毒

  同名文件夹EXE病毒:

  木马名称:Worm.Win32.AutoRun.soq

  当你把你的U盘插入到一台电脑后,突然发现U盘内生成了以文件夹名字命名的文件,扩展名为exe,更要命的是它们的图标跟文件夹是一样的,很具有迷惑性。
  一、病毒原理及相关分析

  一台电脑中毒后,电脑里面会有一个 XP-****.exe(其中****是一个大写字母与数字混合,如XP-02B94AC1.exe)的类似XP补丁的进程以及D7F45.exe的类似进程,同时建立D7F45.exe及一个文件夹的几个启动项,当你插入U盘后,它会把原文件夹隐身,同时建立同名的EXE文件夹,例如 软件.exe 这样的病毒文件夹,文件夹大小为1.44M,不知道的人双击就会中毒。

  病毒名称:Worm.Win32.AutoRun.soq

  病毒类型:蠕虫类

  危害级别:3

  感染平台:Windows

  病毒行为:

  1、病毒运行后会释放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位随机)(其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件,而是汉语编程易语言的支持库文件)到系统盘的\WINDOWS\system32里面

  2、新增以下注册表项,已达到病毒随系统启动而自启动的目的。

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  注册表值:XP-290F2C69(后8位随机)

  类型:REG_SZ

  值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机)

  3、添加以下启动项,实现病毒自启动:

  “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”指向病毒文件。

  4、下载病毒文件: hxxp://df-123.cn/v.gif(16,896 字节)保存为以下文件,并且运行它们:

  %Windir%\System32\winvcreg.exe

  %Windir%\System32\2080.EXE (名称随机)

  5、被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到病毒随移动磁盘传播的目的。

  二、解决方案

  专杀清除方法:

  下载瑞星等杀毒软件。(网上有免费正版的,只不过好像只能使用半年左右)

  手工清除方法:

  1、结束病毒进程。打开超级巡警,选择进程管理功能,终止进程XP-290F2C69.EXE(后8位随机),winvcreg.exe,2080.exe(随机名)。

  2、删除病毒在System32生成的以下文件:

  com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(随机名)

  3、删除病毒的启动项,删除以下启动项:

  “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位随机);

  “C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“ .lnk”。

  4、手工删除后缀为exe的文件,然后显示被隐藏的文件夹。点击“开始”---“运行”----输入“cmd” ,进入命令提示符,然后进入你U盘所在的根目录,具体操作如下,比如你的U盘盘符位G,那么就输入“g:”在回车就可以了。最后,输入如下命令:attrib -r -a -s -h *.* /s /d。

  三、安全建议

  养成右键打开U盘的习惯,建议安装360安全卫士

  或者是开启USBCleaner的Usbmon.exe保护程序

  这个毒是小毒来的,只要你装了360,开启了除ARP防火墙(可根据个人再开启)其余的实时保护,就不再怕那个毒了

  虽然是小毒,但是safe360最新版(比如目前的5.0)、KAV7.0、NOD32 EAV3.0版、NOD32 ESS3.0版都杀不了这个毒,甚至查都查不出来,当然,病毒库都是最新的,除了专杀好象其他杀软都对这个毒忽略了,让我感到意外的是瑞星居然还能查杀,虽然我对瑞星的杀毒能力一直持怀疑态度,这个毒的数据我也提交了好几次,但是杀软和这个毒一直相安无事。

  最新消息,目前KAV7.0的最新病毒库已经能查杀该病毒了(可能是变种)

  NOD32 4.0也可以查杀了
发表于 2009-11-10 10:51 | 显示全部楼层
試一下先。
发表于 2009-11-10 11:37 | 显示全部楼层
近来“u盘杀手”新变种挺厉害,要加强防范。
发表于 2009-11-12 19:16 | 显示全部楼层
呵呵。一直用的U盘免疫的。
很多人带糯虫病毒的U盘到我电脑上,就被报警并清理了。
  [s:3]
发表于 2009-12-1 19:18 | 显示全部楼层
貌似不行啊
发表于 2009-12-22 13:26 | 显示全部楼层
呵呵。一直用的U盘免疫的。
很多人带糯虫病毒的U盘到我电脑上,就被报警并清理了。
发表于 2009-12-22 13:38 | 显示全部楼层
U盘就是传播病毒的工具
您需要登录后才可以回帖 登录 | 注册安规

本版积分规则

关闭

安规网为您推荐上一条 /1 下一条

QQ|关于安规|小黑屋|安规QQ群|Archiver|手机版|安规网 ( 粤ICP13023453-10 )

GMT+8, 2024-12-26 15:35 , Processed in 0.071069 second(s), 20 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表