作者leonia ( >0<)
看板AntiVirus
標題Re: [方案] 避免隨身碟病毒感染系統的幾種方式
時間Thu May 7 12:15:57 2009
首先感謝J大詳盡的說明<(_ _)> 看J大文章長知識!!
我想分享一下(我的經驗)的 是第二種隨身碟病毒
我中這個毒是在影印店的電腦中的(影印店的電腦真是萬惡之源XD)
而且因為當天去很多家所以沒有發現是哪一家 後來才交叉比對出來
是
使用江民防毒軟體的那一家....
然後報告一下這個病毒的感染情形
1. 目前我所知SAV跟KAV都偵測得出來(個人測試結果),但SAV殺不乾淨(詳後述)
2.
WOW無法偵測
3. 檔案的感染情況就如J大所說,
(1) 它會更改你的資料夾屬性,把你的資料夾變成隱藏然後自己新增一個.exe
的檔案出來(長的就像資料夾)
(2) 當你去開啟它的時候它就會自動執行感染你的電腦,然後再打開資料夾
4. 預防方法(這裡我只提供隨身碟解毒方法 囧>):
(1) 當然是停止自動撥放 板上方法很多我就不講了。
(2)
(這個步驟J大有教!!)
打開[我的電腦]→[工具]→[資料夾選項]→[檢視]
隱藏已知檔案的附檔名→這個要取消
顯示所有檔案跟資料夾→這個要打開
取消第一個可以讓你判斷病毒在哪裡
打開第二個可以讓你找回消失的資料夾
(3)
刪除跟你資料夾同檔名的exe檔,還有根目錄底下某個.cmd檔
(4) 隨身碟解毒完成。
5. 資料夾屬性要自己改回來喔。
在網路上看到一個強者提供一個方法也滿好用的(我覺得啦),
他是
用winrar開啟自己的隨身碟,然後把不該在裡面的東西全部刪掉
這樣就連設定資料夾屬性的步驟全部省掉了XDDDDD
沒檔沒真相,這是是我用KAV還原出來的病毒檔
http://www.badongo.com/file/14820702 密碼:virus
裡面有三個檔案,因為是用還原存的所以副檔名都不見了XD
一個是autorun.inf (檔名autorun)好像是我不小心加進去的XD
一個是recycle.exe,這就是病毒會產生的長相,.exe前面是資料夾名稱,
會隨機去抓你隨身碟裡面的資料夾來改,通常不只一個。
它的檔案大小非常固定,是1.3MB
一個是pjwtv.cmd,這個是病毒本體,要刪掉這個才算解決該病毒。
kav會幫你砍掉這個檔案,但sav只會砍掉.exe那個
另外要附加說明的是它的檔名似乎是亂數,所以不一定是這個名字
(我就刪過nod.cmd跟trjqd.cmd這兩種...)
報告完畢<(_ _)>
----------------------------以下是J大原文介紹分隔線--------------------
2.偽裝成正常資料夾欺騙使用者執行
這個是對岸那邊很流行,已經取代隨身碟病毒成為對岸主要流傳的隨身碟病毒
但這個在台灣這邊也有一些災情傳出.
這個需要大致說明他的感染方式
這東西當隨身碟插入到中毒的系統內之後
他會將你隨身碟內的
資料夾加上
系統和隱藏屬性
之後病毒將自身複製成
該資料夾的名稱並偽裝成和資料夾一樣的圖示
這樣在使用者不知情的情形下點擊之後
病毒會先執行並常駐到系統內,之後在幫你開啟你原本要開啟的資料夾
正常來說是這樣....但碰到一個問題點
這東西在對岸來說也不算是新毒了...所以比較勤一點的防毒都可以偵測到
在偵測到之後一般來說都會將該病毒刪除,但在這之前病毒
已經
先將原本的資料夾屬性作了更改,所以一般情形會看不到該資料夾
不知情的使用者就會以為是防毒刪了他的重要資料
這邊的防治方式為開啟顯示隱藏和系統屬性.
並開啟副檔名顯示
怎麼開?
開啟我的電腦 -> 工具 -> 資料夾選項 -> 檢視
進階顯示中的
隱藏已知檔案類型的副檔名
隱藏受保護的作業系統檔案
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.120.213.178
→ chang0206:想請問,這跟江民有什麼關係? 05/07 12:25
→ leonia:沒什麼關係╮(╯_╰)╭ 05/07 12:29
→ leonia:只是想要強調一下害我中毒的電腦有裝防毒軟體而已 05/07 12:30
推 kilin1203:我記得版上有江民的業代,但最近很少看他發文 05/07 12:52
→ leonia:喔XD 那我該修掉嗎._.? 05/07 12:58
推 xiaoyao:第二"代"隨身碟病毒 一直變種 手法類似 KAV查殺是正常的 05/08 00:06
→ logs:進化的隨身碟病毒會覆寫設定,讓你無法用檔案總管看隱藏檔 05/08 03:18