2009/02/24

Notepad.exe 隨身碟病毒

昨天去影印又中標,這個病毒還蠻有趣的,作法和以前的病毒不太一樣,讓我剛開始被耍了一圈。

Name:Notepad.exe
Size:1514482 bytes
MD5:9cbddaab35183dea768d5dac8a212b5a
SHA1:20ea31c8a3954600ae6e30a9d88c58097ec87bd1
BitDefender:Trojan.Spy.Agent.NXS
McAfee:W32/Autorun.worm.dq.gen
Microsoft:TrojanDropper:Win32/Regul.B


中毒後隨身跌除了會有 autotrun.inf 和 Notepad.exe 以外,還會將所有隨身碟中的資料夾隱藏,並建立與資料夾相同名稱的執行檔,執行檔的圖示和資料夾一模一樣(也可能不是檔案,而是透過 autorun.inf 改的,因為 attrib 掃不到),若沒有設定顯示附檔名是看不出差別的。

Notepad.exe 會在 system32 建立一些檔案:
C:\WINDOWS\system32\10A216\com.run
C:\WINDOWS\system32\10A216\dp1.fne
C:\WINDOWS\system32\10A216\eAPI.fne
C:\WINDOWS\system32\10A216\internet.fne
C:\WINDOWS\system32\10A216\krnln.fnr
C:\WINDOWS\system32\10A216\RegEx.fnr
C:\WINDOWS\system32\10A216\shell.fne
C:\WINDOWS\system32\10A216\spec.fne
C:\WINDOWS\system32\36D0F1\2ADE6B.EXE
C:\WINDOWS\system32\B55985\0f10.inf
C:\WINDOWS\system32\B55985\16eb.EDT
C:\WINDOWS\system32\B55985\16eb.inf

紅色標示的是中毒過後主要的病毒執行檔,病毒名稱可能是亂數產生,會在開機時自動執行。

解毒時先開啟工作管理員,將上述紅色的執行檔強制中斷,再開啟 msconfig 取消開機自動執行 (下圖)。


最後進入 system32 資料夾,將三個由病毒建立的資料夾刪除。三個資料夾都設定隱藏,而且名稱都是亂數,可以參考上面的列表找到病毒所在的資料夾。

無法刪除檔案或資料夾,可以使用 attrib 來重新設定檔案屬性,如果想偷懶可以使用 EFix 來解毒。


ps. 這次 KAV 還沒有病毒碼耶,難道病毒是 M$ 和 MacAfee 寫的嗎? XD

8 則留言:

  1. 可能是我懶性發作,我都直接用Mac讀一讀之後,發現有怪異檔案就 rm -rf ...Orz

    病毒好多啊...Orz

    回覆刪除
  2. 病毒跟著防毒技術一起進步........(拖走)

    回覆刪除
  3. 改用linux吧,雖然我也不敢保證說linux以後不會有病毒,至少MacOSX有的機率比linux高很多XD (以市佔率而言 XDXD)

    回覆刪除
  4. 你好~我的狀況跟妳一樣,應該也是中毒,但是卻找不到你所說的那些執行檔及檔案~真是慘阿~

    回覆刪除
  5. 那個病毒好像有很多版本 @@a

    回覆刪除
  6. 請問造上面的步驟完成後
    病毒是已經刪除?
    還是保留?
    插入隨身碟並毒會跑進去嗎?
    麻煩幫解答一下

    回覆刪除
  7. 上面的步驟做完,基本上電腦上應該已經沒有病毒了。隨身碟如果不確定有沒有病毒,可以參考下面幾篇文章檢查:
    http://0rz.tw/544NY

    回覆刪除
  8. 看來病毒是升級了~今天的我,除了刪除autorun.inf 以及 RECYCLER外,沒有出現Notepad.exe ,但是隨身碟中的資料夾有被隱藏的,也被建立與資料夾相同名稱的執行檔,隨身碟格式化後,依然被偵測出病毒,而且隨身碟中依然跑出莫名的資料夾。
    在windows中並沒有上述的檔案,而是其他的「數字」資料夾。
    現在不敢帶著這樣的隨身碟亂跑,也不知道筆電本身有沒有中毒,不知版主是否有相關的資訊可以提供呢?~/_\~泣~

    回覆刪除