※ [本文轉錄自 AntiVirus 看板] 作者: junorn (威廉華勒斯) 看板: AntiVirus 標題: [方案] 近期碰到的會格式化全磁碟的病毒 時間: Thu Sep 18 22:05:52 2008 檔名為syssetup.exe，位在各磁碟根目錄下以隨身碟途徑進行傳播。 這個似乎去年就有了。 只是最近突然有碰到而已 並且有在不少地方有看到幾例這種情形所以po出來請各位自己注意一下 我有拿到樣本但我還沒測試 ( 感謝苦主 rainfrog 提供樣本 m(_o_)m ) 我看了一下他裡面寫的部分字串 ( 用計事本就看的到 ) 感染途徑大概如下 ( 有些是猜測的 ) 1.隨身碟 autorun.inf 所以他可以歸類到隨身碟病毒類，常使用隨身碟的要小心了 另外他有一個動作會將在各磁碟根目錄的autorun.inf資料夾刪除 如果真的是的話那建立資料夾的方式是無效的 2.共享資料夾攻擊 這一段我不清楚，似乎是會找$IPC並嘗試寫入syssetup.exe和autorun.inf的東西 至於會造成什麼樣子的傷害 1. format x: /x/y/b x:代表你系統中所有硬碟 ex: d: e: format 就是 格式化你的硬碟，不懂的人你就當作是讓你硬碟重灌吧。 祇不過不是灌系統碟而已... 2. del *.mp3 *.gho *.doc *.xls *.wmv *...... 刪除你所有硬碟裡面的 mp3檔 gho檔 doc檔 xls檔 wmv檔 一樣是很機車的毒... 至於寫入登錄值的位置則因為沒測試目前不知道 不過目前知道的一個是 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon shell=explorer.exe syssetup.exe 原本的值應該是 shell=exlorer.exe 病毒產生的檔案和執行方式則不明，我現在家裡出了點事沒辦法去測這些東西 還希望有空閒的人能夠幫忙測試一下該行為並且看有沒有能夠有對應的刪除方式 至於EFix 目前的版本 (4.83) 能不能刪？ 我不知道....我沒測試 如果說他會自己一直執行常駐的話那EF應該是刪的掉，用CRC32比對法的關係 但不是的話就不一定了... -- 人間世稱做緣 相連的紅線不停纏繞 脆弱而惹人悲憐的彼岸花 憤怒、傷感、終日以淚洗面 在凌晨零時的夜幕中 為你消除無法平息的怨恨 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.171.86 ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:07) ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:07) ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:08) ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:10) ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:14) ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:16) ※ 編輯: junorn 來自: 220.132.171.86 (09/18 22:17) -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.161.213.159