隨身碟病毒(INFO.exe)
原作分享於PTT的AntiVirus看板 作者: skypray (向天再借五百年) 看板: AntiVirus 標題: [研究] 隨身碟病毒(INFO.exe) 時間: Fri Jan 19 15:45:17 2007 看到板上不少人在分享隨身碟病毒的研究心得, 那我也提供我在自己學校「高醫熱魚天堂」BBS站流傳的版本好了, 這裡面有些是我同學提供的心得,我有一一引用並標註在上面, 代表這篇文章並非是我自己一人的功勞, 而是眾人努力之下而有的結晶。 從病理機轉一直寫到如何治療,希望也能幫助到一些人就是, 有興趣了解這隻病毒的也可參考看看,不過我不知道要怎麼寫懶人包啦, 所以有耐心的板眾就慢慢看吧,沒有耐心的就看別人的解法比較快囉... 【前言】 2006.12.12晚上發現我的桌上型電腦已中毒,卡巴斯基也發現不出此病毒, 想要徹底研究病毒,卻又不小心讓我家另一台筆電也一起中毒, 然後用卡巴斯基把筆電裡程式有變動的地方記錄調出來...... 總算釐清了此病的病理機轉,目前暫且稱它為INFO,此病毒是2006/12/7誕生的。 【病理】 為什麼要用RECYCLER做為它的躲藏處?我們先來看看檔案結構... 1.惡名昭彰的 autorun.inf (感染之必要條件) [autorun] open= shell\open\Command=RECYCLER\INFO.exe shell\open\Default=1 shell\explore\Command=RECYCLER\INFO.exe 2.在RECYCLER資料夾裡,有desktop.inf 這個用來讓RECYCLER資料夾,有著資源回收桶功能,即檔案可回復至特定位置。 3.在RECYCLER資料夾裡,有INFO.exe 這個是病毒核心程式 在插入隨身碟,從我的電腦直接按2下進入後,autorun.inf會呼叫INFO.exe開始運作, (可能還有U.exe,功能機轉不明, by Skypray Huang, 2006.1.19) RECYCLER有著資源回收桶的功能,可以把svchost.exe這個檔案(注意是小寫), 回復至C:\Windows\system (正常的SVCHOST.EXE是放在C:\Windows\SYSTEM32,且是大寫) 然後會幫你執行了svchost.exe,這時按Ctrl+Alt+D