[轉錄][方案] 近期出現會刪除全磁碟檔案的病毒

作者s109612044 (快被當掉的小蔡)

看板NTUE_NSE100

標題[轉錄][方案] 近期出現會刪除全磁碟檔案的病毒

時間Sun Jun 15 19:57:58 2008

※ [本文轉錄自 AntiVirus 看板] 作者: junorn (威廉華勒斯) 看板: AntiVirus 標題: [方案] 近期出現會刪除全磁碟檔案的病毒時間: Wed Jun 4 15:07:05 2008 這毒9GY..... 目前特性我還不清楚，我必須要測試。(會刪全磁碟的我看我測試系統準備要重灌..0rz) 不過目前已知 1.會在windows資料夾產生,.exe檔案 EX:c:\windows\,.exe 2.會在各磁碟根目錄產生,.exe和autorun.inf檔案利用隨身碟傳撥... EX: 隨身碟代號F: 就寫入F:\autorun.inf F:\,.exe autorun.inf的內容為 open=,.exe 3.會在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 寫入下列登錄值，之後隨開機啟動 "HUI"="c:\windows\,.exe" 4.會於不知道什麼情形下重開機後刪除某一磁碟內的所有檔案清除方式： 1.先將,.exe這個程序停止，或者進入安全模式。 2.刪除windows資料夾內的,.exe檔案（建議使用icesword) 3.將各磁碟內的autorun.inf檔案以及,.exe刪除 4.重新檢查windows資料夾內有沒有產生,.exe 5.沒有的話就ok 喔對了補充一下：這個目前在virustotal測試是沒有一家抓的到的，頂多報殼應該只是使用正常的批次程序吧我猜... ----------------------------------------------------------- 我會在EFix我正在寫的測試版加入刪除此檔案..但沒樣本我只能用抓檔名刪除的方式看來測試的版本要提早先發了... -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 210.68.130.155

推 pao1985:好可怕的毒... 06/04 15:16

推 liskenny:如果先用笨方法建一個,.exe的唯讀假檔擋的下來嗎？ 06/04 15:24

推 maoa:請問如果檔案已經被刪要先用FD救回檔案再刪病毒還是先刪毒 06/04 15:25

→ maoa:再救檔案? 謝謝 06/04 15:25

→ junorn:被刪除的檔案磁碟不要動，然後病毒檔先刪 06/04 15:26

→ junorn:to:liskenny 這個我就不清楚了樣本剛拿到找時間試 06/04 15:27

推 liskenny:謝謝板主回應，我想還是先去確認公司資料備份好了 06/04 15:39

※ 編輯: junorn 來自: 210.68.130.155 (06/04 15:50)

→ bont:一開始中的時候發現硬碟一直跑然後不給開工作管理員 06/04 16:07

→ bont:用了至底閃光文它停了下來從開機之後又是相同情況 06/04 16:12

→ bont:剛剛接受J大指導刪除了現在從開機已經沒有這個情況 06/04 16:12

→ junorn:因為置底閃光文會將所有在跑的程式嘗試停止下來 06/04 16:12

→ junorn:但因為沒刪除他所以他開機後又會在啟動，啟動這段時間負責 06/04 16:13

→ junorn:刪除檔案...0rz，好惡毒的程式。 06/04 16:13

推 milen:AUTORUN是系統預設..所以改了就沒效所以有用 06/04 16:25

→ milen:,.EXE這種檔名就算做了假檔也沒用..變種改一下就無效了 06/04 16:26

→ milen:不過不知道C碟也一樣砍嗎?或是能砍的全砍?@_@ 06/04 16:26

→ junorn:這點我也不清楚，前面幾篇好像有一位是砍系統碟的.. 06/04 16:27

推 milen:真是夠GY.......... 06/04 16:41

推 ysd:我已經將程序停止但是刪掉之後馬上又出現怎麼刪都刪不掉 T.T 06/04 17:21

推 heber:這個GY病毒好可怕...~"~ 06/04 17:23

→ everygay:想請問哪一些動作會比較容易中這個病毒? 06/04 17:45

→ junorn:這個我就不清楚了，但是他有一個特性是透過隨身碟 06/04 17:46

→ junorn:所以多注意你的隨身碟吧。 06/04 17:46

推 daugh:請問是把autorun.inf刪掉還是把這個資料夾裡的東西刪掉？ 06/04 18:28

推 joycewanga:太可怕了這種毒 06/04 18:44

推 skm032:如果AUTORUN已經有假檔防疫，隨身碟就不會傳染了? 06/04 18:48

→ fffkkl: 掃毒軟體還沒辦法清這種毒嗎 ? 06/04 18:54

推 cutenoodle:昨天我們研究室一共有5人同時中標~很恐怖!! 06/04 19:37

→ junorn:照道理來說EFix的CRC32偵測法應該可以直接幹掉他，但一般人 06/04 19:43

→ junorn:執行時習慣不關防毒軟體..這讓EFix沒辦法讀取autorun.inf 06/04 19:43

→ junorn:的內容造成無法從autorun.inf內容中讀取CRC32的值 06/04 19:44

→ junorn:就刪不到了.... 06/04 19:44

→ junorn:晚點會將新版的EFix擺上去就可以刪了...抓檔名砍0rz 06/04 19:47

推 cisab:靠…左邊走… 好機車的病毒 06/04 19:51

推 NoCanDo:批次檔病毒 = = 夠狠 06/04 20:11

推 TWcannon:我在我的隨身牒看到 ,.exe 這樣表示中標了嗎= =" 06/04 20:30

→ junorn:To:樓上，你答對了.. 06/04 20:30

推 leoandgrace:好狠.. 06/04 20:38

推 s109612044:所以..只要中了就隨它愛殺哪裡就殺哪裡...是嗎...~"~ 06/04 20:45

推 everygay:可是如果看到,.exe，是不是會來不及檔案就被刪光光了? 06/04 21:02

→ junorn:這我就不清楚了，因為我不知道他啟動刪除檔案的時機。 06/04 21:08

推 ysd:不會來不及，看運氣...我看到那個檔案已經有一個禮拜之久在昨 06/04 21:16

→ ysd:天...他就啟動了T.T 結果用FD只救回檔案夾而已資料救不回來 06/04 21:17

推 everygay:看來真的很嚴重.感謝j大熱心研究，希望早日有防護方法 06/04 21:23

→ junorn:置底EFix已更新，可直接刪除此檔案，有需要的人請下載使用 06/04 21:23

→ junorn:但被刪除的檔案基本上....找救援軟體吧我沒能力解決。 06/04 21:23

→ junorn:順便問一下，HUI可能是哪一個姓嗎？就姓名的姓 06/04 21:25

推 everygay:應該是許，google找到的 06/04 21:27

推 miamodo:許? 06/04 21:27

→ junorn:感覺上不知道是哪個白目學生寫的...在外面幹黑客的應該不會 06/04 21:28

→ junorn:這樣幹才是... 06/04 21:28

→ everygay:好像也有"惠"，不太清楚，好像蠻多種姓的 06/04 21:28

→ junorn:而且似乎只有在學校才有在流行？外面還沒看到過... 06/04 21:30

推 everygay:看來最近不敢在學校用隨身碟存取作業了，真要小心一點=_= 06/04 21:37

推 terry1043:真的很缺德最近nod32很容易掃到autorun...... 06/04 21:49

※ fantasycloud:轉錄至看板 NUU_IM 06/04 22:12

推 nickcha:到底是從哪來的???最近也沒用隨身碟啊?? 06/04 22:18

推 terry1043:區網會不會散布? 06/04 22:19

※ pearl0821:轉錄至看板 CSMU-MIS93 06/04 22:28

推 pearl0821:借轉班版~謝謝 06/04 22:28

→ junorn:區網..不知道耶 06/04 22:29

→ xiao:我有用undelete這軟體救回被刪除的資料給大家做參考 06/04 22:31

※ laiyulai:轉錄至看板 NPUST 06/04 22:37

推 terry1043:借轉校BBS 06/04 22:44

※ tantalas:轉錄至看板 TTU-I91A 06/04 22:51

推 imgoes:有在家裡電腦中獎的嗎? 06/04 23:23

推 nickcha:me 06/04 23:40

→ angnus:重點文轉版，感謝orz 06/04 23:40

※ angnus:轉錄至看板 TaichungBun 06/04 23:40

推 cafardpurple:借轉感謝 06/04 23:43

※ cafardpurple:轉錄至看板 CSMU-MED93 06/04 23:44

推 moominy:借轉~~感恩~~ 06/05 00:06

※ moominy:轉錄至看板 KSU 06/05 00:07 ※ gin0111:轉錄至看板 CHNA 06/05 00:23 ※ spirit427:轉錄至看板 ISU_MSE_93 06/05 00:24 ※ kikini916:轉錄至看板 Chiayi 06/05 00:45 ※ duban:轉錄至看板 DYU 06/05 00:58

推 c155325:找不到下載怎麼辦(不要把我放到笨版,拜託) 06/05 00:59

→ junorn:置底前面有寫閃光那一篇 06/05 01:13

推 c155325:沒看到說 06/05 01:22

→ junorn:那你置底幾篇都看一下吧，有一篇推到爆的 06/05 01:23

推 c155325:找到了,感謝你的大恩大德 06/05 01:27

※ freeshady:轉錄至看板 HSNU_976 06/05 01:50 ※ ps2:轉錄至看板 ck53rd320 06/05 02:37 ※ will0921:轉錄至看板 NCYU_DMI_96 06/05 08:10

推 kto0623:不好意思借轉回我學校@@ 我校隨身碟病毒到處氾濫 06/05 09:13

→ kto0623:借轉會完全複製作者姓名與出處，如有不妥還請通知我喔謝 06/05 09:14

→ junorn:沒關係要轉的就直接轉就好了。 06/05 09:16

※ kevinsosa:轉錄至看板 FCU_EE_SB 06/05 10:05 ※ OnnSennKame:轉錄至看板 NCYU_DMI_97 06/05 10:43 ※ 編輯: junorn 來自: 210.68.130.155 (06/05 12:49) ※ 編輯: junorn 來自: 210.68.130.155 (06/05 12:49)

推 saicouter:借轉謝謝 06/05 13:06

推 kkds:借轉謝謝！ 06/05 13:11

※ kkds:轉錄至看板 NTHU_STAT95 06/05 13:12 ※ JFCC:轉錄至某隱形看板 06/05 13:44 ※ lavender717:轉錄至看板 FCU_EE97A 06/05 14:08

推 newdark:借轉謝謝~ 06/05 17:55

※ newdark:轉錄至看板 NDHU_MSE94 06/05 17:55

推 chemical1223:借轉謝謝 06/05 20:18

※ chemical1223:轉錄至看板 MIT 06/05 20:18

推 cdjemmy:借轉回外站個人版，謝謝!! 06/05 21:46

推 janet6:借轉謝謝 06/05 22:11

※ janet6:轉錄至看板 TNNUA_AH_94 06/05 22:11

推 HunterTin:借轉至外站個人版，謝謝！ 06/06 01:43

※ ys5123:轉錄至看板 TKU_ACC_95A 06/06 23:32 ※ tefa:轉錄至看板 NCUIM96 06/07 16:05

→ tefa:藉轉班版～ 06/07 16:06

推 ssaume:借轉班板 06/07 16:45

※ ssaume:轉錄至看板 NKHS-93-H3B 06/07 16:45 ※ yoshigo:轉錄至看板 NTUA_GCA94 06/09 09:40

推 tearslight:借轉外站個人版<(_ _)> 06/10 00:19

推 timkaog:借轉班板 06/12 19:39

※ timkaog:轉錄至看板 KS96-305 06/12 19:39 ※ timkaog:轉錄至看板 NTHU-MSE11 06/12 19:41

推 adeepelf:借轉 06/12 22:00

※ adeepelf:轉錄至看板 NDHU_MSE93 06/12 22:00

推 jamesclock:借轉班版 06/13 01:04

※ jamesclock:轉錄至看板 CCSH_89_317 06/13 01:05 ※ kf181818:轉錄至看板 MCU_Talk 06/13 05:27

推 kf181818:借轉 06/13 05:28

推 juliette:junorn大辛苦了 <(_ _)> 06/13 10:15

推 geminikuo:借轉外站個人版謝謝<(_ _)> 06/13 13:54

※ qanion:轉錄至看板 NFU 06/13 15:05 ※ hsejotim:轉錄至看板 NCKU-IMM95 06/13 16:13 ※ unbiased:轉錄至看板 NTUST-IM-M95 06/13 17:40 ※ lichunism:轉錄至看板 HCHS60309 06/13 23:50

推 SkyBless:借轉謝謝 :) 06/14 02:06

※ yd1140:轉錄至看板 Gossiping 06/14 02:10 ※ yd1140:轉錄至看板 gay 06/14 02:10 ※ yd1140:轉錄至看板 TaichungBun 06/14 02:20 ※ kyoin:轉錄至看板 ASIA-uni 06/14 02:21

推 kyoin:借轉謝謝 06/14 02:21

※ fspiaowu:轉錄至看板 C_Chat 06/14 02:22

推 applerev:借轉到學校bbs 謝謝 06/14 03:04

※ ZXEVA:轉錄至看板 CH7th310 06/14 03:20 ※ slcgboy:轉錄至看板 STU 06/14 04:05 ※ ymca0718:轉錄至看板 FCU_Talk 06/14 07:39 ※ ckkencheng:轉錄至看板 NUU_CHE 06/14 09:41 ※ zero1017:轉錄至看板 Sijhih 06/14 12:05 ※ xrdx:轉錄至看板 HCHS59305 06/14 13:43 ※ ssuin:轉錄至看板 SU46th_05 06/14 16:36

推 jasties:借轉 06/14 17:15

※ izakika:轉錄至看板 STUT 06/14 17:25

推 ytdiary1927:借轉~謝謝ˇ 06/14 20:25

※ ytdiary1927:轉錄至看板 CMU_D28 06/14 20:26 ※ curtis816:轉錄至某隱形看板 06/14 20:51

推 easywind:借轉班版謝謝 06/14 22:00

※ easywind:轉錄至看板 NTUE_Nse96 06/14 22:00

推 northbear522:借轉bs2個板 06/14 23:28

推 jackex:借轉謝謝 06/15 00:42

※ jackex:轉錄至看板 TTSH12th309 06/15 00:44

推 memalina:借轉到網誌提醒朋友會註明作者及來源感謝~ 06/15 00:47

推 Fleeing:借轉謝謝~~ 06/15 01:02

※ Fleeing:轉錄至看板 BuRuRadio 06/15 01:02 ※ gigiti:轉錄至看板 TKU_Talk 06/15 19:03

推 s109612044:借轉..謝謝! 06/15 19:57

-- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.230.20.70 這篇文章因為98、99及都有出現...我也覺得這個很嚴重...所以轉過來給各位... 至於這個東西的解決方法....必須要用到antivirus版的高手所製作的軟體... 就請各位自己到antivirus板的置底或自己搜尋去看... 記得在執行前要把掃毒程式關掉喔為何我覺得很重要ㄋ....聽說這個病毒會在每個月的3號及18號瘋狂刪除D,E槽...orz 然後學校防止隨身碟病毒的能力沒有很強(泣)...所以大家小心 ※ 編輯: s109612044 來自: 61.230.20.70 (06/15 20:05)