隨身碟病毒(INFO.exe)

原作分享於PTT的AntiVirus看板

作者: skypray (向天再借五百年) 看板: AntiVirus 標題: [研究] 隨身碟病毒(INFO.exe) 時間: Fri Jan 19 15:45:17 2007

看到板上不少人在分享隨身碟病毒的研究心得，

那我也提供我在自己學校「高醫熱魚天堂」BBS站流傳的版本好了，

這裡面有些是我同學提供的心得，我有一一引用並標註在上面，

代表這篇文章並非是我自己一人的功勞，

而是眾人努力之下而有的結晶。

從病理機轉一直寫到如何治療，希望也能幫助到一些人就是，

有興趣了解這隻病毒的也可參考看看，不過我不知道要怎麼寫懶人包啦，

所以有耐心的板眾就慢慢看吧，沒有耐心的就看別人的解法比較快囉...

【前言】

2006.12.12晚上發現我的桌上型電腦已中毒，卡巴斯基也發現不出此病毒，

想要徹底研究病毒，卻又不小心讓我家另一台筆電也一起中毒，

然後用卡巴斯基把筆電裡程式有變動的地方記錄調出來......

總算釐清了此病的病理機轉，目前暫且稱它為INFO，此病毒是2006/12/7誕生的。

【病理】

為什麼要用RECYCLER做為它的躲藏處？我們先來看看檔案結構...

1.惡名昭彰的autorun.inf (感染之必要條件)

[autorun]

open=

shell\open\Command=RECYCLER\INFO.exe

shell\open\Default=1

shell\explore\Command=RECYCLER\INFO.exe

2.在RECYCLER資料夾裡，有desktop.inf

這個用來讓RECYCLER資料夾，有著資源回收桶功能，即檔案可回復至特定位置。

3.在RECYCLER資料夾裡,有INFO.exe

這個是病毒核心程式

在插入隨身碟，從我的電腦直接按2下進入後，autorun.inf會呼叫INFO.exe開始運作，

(可能還有U.exe，功能機轉不明, by Skypray Huang, 2006.1.19)

RECYCLER有著資源回收桶的功能，可以把svchost.exe這個檔案(注意是小寫)，

回復至C:\Windows\system (正常的SVCHOST.EXE是放在C:\Windows\SYSTEM32，且是大寫)

然後會幫你執行了svchost.exe，這時按Ctrl+Alt+Del，

會看到此程式svchost.exe正在運作，但是因為系統本身也有SVCHOST.EXE，

所以大家會不以為意，沒注意到大小寫不同，其實檔案就是不同的來源了，

只要一有新的隨身碟插入，會自動把3大檔案植入你新的隨身碟，

如果你把隨身碟的3大檔案刪掉，中毒的電腦會重新將那3個檔案寫入隨身碟。

另外在C:\Windows\system下尚有「_sv_CMD_」資料夾，

裡面有_U_.exe和U.exe，機轉和作用尚不明確。

最近研究發現，在寫入svchost.exe至C:\Windows\system是強制性的，

因為我們曾試圖將一個空白的svchost.exe預先放入C:\Windows\system並選擇唯讀，

以便觀察病毒就無法因此感染電腦，結果發現：

病毒照樣能夠自行產生具感染力的svchost.exe來蓋過我們所創造的空白檔。

(by Skypray Huang, 2006.1.19)

此病毒另一很賊的地方，就是會讓你看不到RECYCLER裡面的檔案，

即使你開啟顯示所有檔案也一樣，所以要讓裡面檔案現形的方法，

就是把RECYCLER的唯讀和保存屬性拿掉，並同時套用至整個資料夾內的檔案。

【治療】

按Ctrl+Alt+Del進入工作管理員把那svchost.exe關閉。

在「程序處理」頁面確定你看到了「影像名稱」和「使用者名稱」，

沒有「使用者名稱」的話請到「檢視」「選擇欄位」將它勾選即可看到，

之後將「使用者名稱」不是SYSTEM、NETWORK SERVICE、LOCAL SERVICE

這三種的svchost.exe關閉即可。(by Zzjames Wu, Douglas Chang, 2006.12.12)

然後刪除C:\Windows\system\svchost.exe(若前述動作有關對檔案，必可成功)，

另外在C:\Windows\system下尚有「_sv_CMD_」資料夾，裡面有_U_.exe和U.exe，

記得也要把此資料夾一併清除(by Skypray Huang, 2006.1.19)，

最後是砍掉隨身碟裡的那3大檔案，不過當你發現有這程式在執行時，

你的所有磁碟可能都中毒了，記的除了C槽外、D槽等等硬碟也看看，

是否有那些隨身碟有的那3大檔案(by Zzjames Wu, 2006.12.12)，

最後，要讓它完全了無痕跡的話，我們還需要個工具「HijackThis」

http://www.filehippo.com/download_hijackthis/

解壓執行後，選擇「Do a system scan only」，看到以下這一行：

F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\system\svchost.exe

勾選並點擊下方的「Fix checked」(by Douglas Chang, 2006.12.12)，

全部砍除完，即可解毒成功，

不過是否根治，至少不會再有新的病毒被寫入隨身碟裡去了。

經最新研究發現，砍除完有免疫效果，即該隻病毒無法再以相同的途徑感染，

可能是病毒會檢查電腦中的某個位置是否有被感染的痕跡，再決定是否感染，

但是目前尚無法找出該痕跡的位置。(by Skypray Huang, 2006.1.19)

治療隨身碟(即砍除3大檔案)的方法

(1)工具→資料夾選項→檢視→檔案和資料夾→隱藏保護的作業系統檔案(這個勾去掉)

(2)工具→資料夾選項→檢視→檔案和資料夾→隱藏檔案和資料夾→

   顯示所有檔案和資料夾

(3)插入隨身碟後→進入資料夾裡，

   但不可在我的電腦中左鍵點2下進入，請善用右鍵→檔案總管再進入，

   *如果還是進不了，可在「我的電腦」內的上方網址列，

    直接打入磁碟機代號(例如「E:」、「F:」...)(by Skypray Huang, 2006.1.19)

(4)刪了autorun.inf和RECYCLER目錄

(5)拔除隨身碟，即解毒完成。

補充：若有檔案刪除不了者，可以至　http://ccollomb.free.fr/unlocker

下載Unlocker 1.8.5，安裝好後在想要刪的檔案按右鍵再選解鎖，

即可刪除被鎖定的檔案。(by Skypray Huang, 2006.1.19)

【結論】

此類病毒不斷有新變種(目前已知有driveinfo,info等)，

目前正以極快的速度四處蔓延和擴散至各地，

因此提供此研究方法，讓大家得以防患未知之病毒。