新的隨身碟病毒uret463.exe

太相信防毒程式的下場

今天客戶有一台電腦的Avira小紅傘出現不能更新的狀況，查了一下防毒程式的記錄有抓到一隻隨身碟病毒，由於又送去一台新裝程式的電腦，所以就用新的電腦教客戶如何正確使用隨身碟：

1. 先按住【Shift】鍵再插入隨身碟或讀卡機。
2. 打開「我的電腦」在隨身碟的代號按滑鼠右鍵選擇〔Scan selected files with AntiVir〕用小紅傘掃毒。
3. 果不其然嗶嗶叫了幾聲：有抓到毒了。
4. 掃完了之後移除隨身碟再重新插入（一樣按著Shift鍵）。
5. 點擊隨身碟的磁碟代號，結果電腦停了一下子，然後小紅傘出現了以下的警告：抓到了一隻藏在「c:\windows\system32\drivers\klif.sys」這個檔案的病毒「RKIT/Agent4160」：

再點擊C磁碟、D磁碟都出現相同的警示，看來小紅傘這次又破功了，所以正確的隨身碟使用步驟請參考本文最後面的說明，現在就先來看一下這隻毒到底是怎麼入侵的...

找尋病毒本尊

首先由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」，輸入以下的指令：

c:
cd \
dir /ah

點圖可放大

在這裡看到了兩個有問題的檔案，日期是昨天和今天，檔名是「6vu680.com」和「autorun.inf」，再輸入

type autorun.inf

看到了autorun.inf裡面就是去執行6vu680.com，所以你點擊C磁碟就中毒了！但這不是病毒的本尊，因為這只是一個用來下載最新病毒的下載程式(Downloader)，或是是Rootkit隱身的檔案，所以防毒程式抓不到！

註：autorun.inf裡面所執行的程式檔名不會固定，就是在open=後面的檔名，所以請你記住你所看到的檔名作為下面刪除的依據。

一般的病毒都喜歡藏身在「c:\windows\system32」之下，所以在用以下的指令找找看：

c:
cd \windows\system32
dir /ah

看到了沒？兩個新的檔案：「uret463.exe」和「lhgjyit0.dll」，這才是真正在記憶體中的病毒程式。

點圖可放大

再確認一下，在DOS視窗鍵入regedit開啟「登錄編輯程式」，依序找到「HCU\Software\Microsoft\Windows\CurrentVersion\Run」這裡有「dorfgwe」機碼在開機時去自動執行上面找到的「uret463.exe」，至於其他的地方在沒有藏病毒檔呢？我找了一下沒發現，應該就是這兩個而已，不過那個.dll檔可能會有lhgjyit1.dll,lhgjyit2.dll...會衍生出來。

點圖可放大

難看的防毒成績單

還是先照「將可疑檔案上傳至virustotal.com分析」這一篇的方法將開始觸發的病毒檔「6vu680.com」傳上去分析，結果還是有大半的防毒程式都還不知道這隻毒！

點圖可放大

比較奇怪的是小紅傘知道是毒，但是擋不掉Orz！

手動解毒

如果你是第一次來到本站，建議你先看看「DOS指令 - 懷舊篇」以免誤殺無辜！

1. 電腦重開機，在開機時趕緊按【F8】選擇第一個「安全模式」（如果安全模式進不去那只能有正常模式解，還是可以解掉，不過要解兩次）。
2. 由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」。
3. 鍵入下列指令：

   c:
   cd \windows\system32
   attrib -s -h -r uret*.exe
   del uret*.exe
   attrib -s -h -r lhg*.dll
   del lhg*.dll
   cd \
   attrib -s -h -r autorun.inf
   del autorun.inf
   attrib -s -h -r 6vu*.com
   del 6vu*.com
   〔還有你找到的其他病毒檔案也用相同方法刪除〕
   d: 同以上c:作法刪除autorun.inf和6vu680.com
   e: f: g: 如果還有的話也一樣
   

   註：因為在安全模式無法上網，所以請將上面的指令先存成純文字檔備用，另外這裡的檔名只是範例，請你先找出你的病毒檔名，用你找到的檔名來替換本例中的名稱。
4. 用「regedit」開啟「登錄編輯式」，依序找到「HCU\Software\Microsoft\Windows\CurrentVersion\Run」，在「dorfgwe」這個機碼按右鍵〔刪除〕機碼。
5. 重開機進入正常模式。

還沒完喔！隨身碟裡面的罪魁禍首還沒除掉呢！

隨身碟解毒

先聲明：隨身碟的解毒是要在你的電腦沒中毒之下才有用，如果你的電腦還是在中毒狀態下的話，是解不掉的！

1. 先按住【Shift】鍵再插入隨身碟或讀卡機，等到「安全地移除硬體」圖示出現後再放掉【Shift】鍵。
2. 打開「我的電腦」找到隨身碟的代號，我這裡用「G」來示範。
3. 由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」。
4. 鍵入以下指令：

   g:
   dir /ah
   

   看看有什麼隱藏檔，一般的隨身碟不應該有隱藏檔，如果有像下面的autorun.inf或是副檔名是.exe, .com, .bat, .cmd的隱藏執行檔，應該都是病毒檔。
5. 用下列的指令刪除病毒檔：

   attrib -s -h -r autorun.inf
   del autorun.inf
   attrib -s -h -r 6vu680.com
   del 6vu680.com
   還有其他的檔案...
   

6. 用「安全地移除硬體」移除隨身碟，再重覆1-4的步驟，如果隱藏檔還在那就是毒還沒解掉。

點圖可放大

最後再匯入這個「恢復顯示隱藏檔」的登錄檔，完了之後看是不是可以顯示隱藏檔了（在「五個步驟，檢查你是否中了kavo病毒」有詳細的說明），如果看到了隱藏檔毒應該是解乾淨了！

至於另外一台小紅傘不能更新病毒碼的電腦也是中了相同的毒，同樣手動解毒之後，再移除小紅傘重裝就正常了。

最後再提醒大家：目前沒有一套防毒能有效防止新病毒的！本站有許多觀念性的文章你應該要好好看一看喔！（就在防毒教室最舊的那幾篇）

2009/02/23補充：如何使用隨身碟而不怕中毒請看「隨身碟的正確使用方法」

2009/03/13補充：今天客戶有一台電腦看到新的檔名，以下是autorun.inf的內容：

[AutoRun] ;idaaak73lwmsda2Ki5fJoSq0q open=xe9fdii1.cmd ;k7ZoJJie4kDssjqS330kO shell\open\Command=xe9fdii1.cmd

就是這個xe9fdii1.cmd，請大家注意

另外已經很久沒用的Symantec防毒，昨天就有一台電腦還是用這個防毒，本來以為這一台一定中毒很深，結果沒有中半隻毒，所以結論還是：「防毒觀念比防毒程式有效」。