2007/12/15

隨身碟病毒解毒(usbmons.dll、kb2006a.exe)

本文只是用於 USB 隨身碟病毒 usbmons.dll、kb2006a.exe:
AntiVirTR/Hijack.Wlo.22016
AvastWin32:Trojan-gen {UPX}
AVG Worm/Delf.AKZ
BitDefenderTrojan.Downloader.Tiny.GJ
F-SecureTrojan.Win32.Agent.amp
KasperskyWorm.Win32.Delf.aj
McAfee Generic Downloader
Microsoft Win32/Delf
NOD32v2 Win32/TrojanDownloader.Tiny.Y
Panda W32/Delf.ZR.worm


本篇文章沒有提供詳細的測試過程,只提供解毒步驟及方法,若要看詳細檢驗過程請參考「隨身碟病毒 usbmons.dll kb2006a.exe 解毒」。

  病毒特性
會先在所有可移動式的磁碟機建立一個 autorun.inf 和一個 RECYCLER 的隱藏資料夾(資源回收桶圖示)。autorun.inf 檔內容如下:
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe

shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe

shellexecute=.\RECYCLER\RECYCLER\autorun.exe



  解毒步驟
先刪除以下二個檔案:
C:\windows\system32\usbmons.dll
C:\windows\system32\kb2006a.exe
(無法刪除可使用 Unlocker 解鎖)

接著點 開始 -> 執行 -> "regedit",按 Ctrl+F 搜尋關鍵字「usbmons.dll」。應該會出現在二種不同的機碼內。
USB Monitor :Driver = "usbmons.dll"  -> 改回正確的機碼 (刪掉 "s")
OpenSaveMRU :a, b, c ... = "usbmons.dll" -> 刪除字串值

接著準備刪除隨身碟中的病毒。要讓隨身碟不會自動執行的方法有二種:
  1. 關閉系統自動執行
  2. 插入隨身碟時,按住 Shift 鍵不放
要開啟隨身碟時,請在圖示上面點滑鼠右鍵,選擇「開啟(O)」,不可以點選英文的「Open」

進入隨身碟後,刪除 autorun.inf 以及 RECYCLER 資料夾即可。

8 則留言:

  1. verna from clavis27/12/07 17:11

    Hi, Zeroplex

    我們是負責賽門鐵克台灣區的經湛公關。
    無意間在網路上發現您的部落格,我們十分欣賞您的文筆及對部落格經營的用心。
    另外,在看到您所分享的資安觀點後,我們一致認為您在針對此領域所發表的意見極具參考價值,
    因此在未來想邀請您一起來參與我們的活動﹗

    如造成您的不便,也請見諒,謝謝! 

    連絡方式:
    經湛公關
    verna
    verna@clavis.com.tw

    回覆刪除
  2. GOOD~我按著你的指示做啦~
    目前正在寫論文的我居然中病毒了~
    很謝謝你的分享~

    回覆刪除
  3. 我也中了…但…有點無言死了又活死了又活可以讓人這樣子的嗎~~

    奮鬥一整晚

    流程如下:

    1.先刪除以下二個檔案:
    C:\windows\system32\usbmons.dll
    C:\windows\system32\kb2006a.exe

    2."regedit",按 Ctrl+F 搜尋關鍵字「usbmons.dll」。應該會出現在二種不同的機碼內。
    USB Monitor :Driver = "usbmons.dll"  -> 改回正確的機碼 (刪掉 "s")OpenSaveMRU :a, b, c ... = "usbmons.dll" -> 刪除字串值

    以上都照著做但我的會一直復活

    最後發現只要將

    RECYCLER 資料夾→刪掉
    autorun.inf檔內容修改如下
    ----------------------------
    全刪
    ----------------------------
    是的你沒看錯…修改成這樣子也解了= =不再出現exe也不隱藏資料夾了

    回覆刪除
  4. 我沒注意到病毒對 recycle 資料夾進行存取,可能是我在測試時還沒完全發作吧。

    不過....恭喜你解毒成功!

    回覆刪除
  5. 我遇到了 但是都無法找到你說的那些東西

    回覆刪除
  6. 我遇到了 但是都無法找到你說的東西

    回覆刪除
  7. 這篇文章也蠻舊的說,我猜病毒可能已經變種或調整過攻擊方式

    文章內的操作可能已經不管用了

    回覆刪除