新的隨身碟病毒uret463.exe
太相信防毒程式的下場
今天客戶有一台電腦的Avira小紅傘出現不能更新的狀況,查了一下防毒程式的記錄有抓到一隻隨身碟病毒,由於又送去一台新裝程式的電腦,所以就用新的電腦教客戶如何正確使用隨身碟:
- 先按住【Shift】鍵再插入隨身碟或讀卡機。
- 打開「我的電腦」在隨身碟的代號按滑鼠右鍵選擇〔Scan selected files with AntiVir〕用小紅傘掃毒。
- 果不其然嗶嗶叫了幾聲:有抓到毒了。
- 掃完了之後移除隨身碟再重新插入(一樣按著Shift鍵)。
- 點擊隨身碟的磁碟代號,結果電腦停了一下子,然後小紅傘出現了以下的警告:抓到了一隻藏在「c:\windows\system32\drivers\klif.sys」這個檔案的病毒「RKIT/Agent4160」:
再點擊C磁碟、D磁碟都出現相同的警示,看來小紅傘這次又破功了,所以正確的隨身碟使用步驟請參考本文最後面的說明,現在就先來看一下這隻毒到底是怎麼入侵的...
找尋病毒本尊
首先由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」,輸入以下的指令:
c: cd \ dir /ah
在這裡看到了兩個有問題的檔案,日期是昨天和今天,檔名是「6vu680.com」和「autorun.inf」,再輸入
type autorun.inf
看到了autorun.inf裡面就是去執行6vu680.com,所以你點擊C磁碟就中毒了!但這不是病毒的本尊,因為這只是一個用來下載最新病毒的下載程式(Downloader),或是是Rootkit隱身的檔案,所以防毒程式抓不到!
註:autorun.inf裡面所執行的程式檔名不會固定,就是在open=後面的檔名,所以請你記住你所看到的檔名作為下面刪除的依據。
一般的病毒都喜歡藏身在「c:\windows\system32」之下,所以在用以下的指令找找看:
c: cd \windows\system32 dir /ah
看到了沒?兩個新的檔案:「uret463.exe」和「lhgjyit0.dll」,這才是真正在記憶體中的病毒程式。
再確認一下,在DOS視窗鍵入regedit開啟「登錄編輯程式」,依序找到「HCU\Software\Microsoft\Windows\CurrentVersion\Run」這裡有「dorfgwe」機碼在開機時去自動執行上面找到的「uret463.exe」,至於其他的地方在沒有藏病毒檔呢?我找了一下沒發現,應該就是這兩個而已,不過那個.dll檔可能會有lhgjyit1.dll,lhgjyit2.dll...會衍生出來。
難看的防毒成績單
還是先照「將可疑檔案上傳至virustotal.com分析」這一篇的方法將開始觸發的病毒檔「6vu680.com」傳上去分析,結果還是有大半的防毒程式都還不知道這隻毒!
比較奇怪的是小紅傘知道是毒,但是擋不掉Orz!
手動解毒
如果你是第一次來到本站,建議你先看看「DOS指令 - 懷舊篇」以免誤殺無辜!
- 電腦重開機,在開機時趕緊按【F8】選擇第一個「安全模式」(如果安全模式進不去那只能有正常模式解,還是可以解掉,不過要解兩次)。
- 由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」。
- 鍵入下列指令:
c: cd \windows\system32 attrib -s -h -r uret*.exe del uret*.exe attrib -s -h -r lhg*.dll del lhg*.dll cd \ attrib -s -h -r autorun.inf del autorun.inf attrib -s -h -r 6vu*.com del 6vu*.com 〔還有你找到的其他病毒檔案也用相同方法刪除〕 d: 同以上c:作法刪除autorun.inf和6vu680.com e: f: g: 如果還有的話也一樣
註:因為在安全模式無法上網,所以請將上面的指令先存成純文字檔備用,另外這裡的檔名只是範例,請你先找出你的病毒檔名,用你找到的檔名來替換本例中的名稱。 - 用「regedit」開啟「登錄編輯式」,依序找到「HCU\Software\Microsoft\Windows\CurrentVersion\Run」,在「dorfgwe」這個機碼按右鍵〔刪除〕機碼。
- 重開機進入正常模式。
還沒完喔!隨身碟裡面的罪魁禍首還沒除掉呢!
隨身碟解毒
先聲明:隨身碟的解毒是要在你的電腦沒中毒之下才有用,如果你的電腦還是在中毒狀態下的話,是解不掉的!
- 先按住【Shift】鍵再插入隨身碟或讀卡機,等到「安全地移除硬體」圖示出現後再放掉【Shift】鍵。
- 打開「我的電腦」找到隨身碟的代號,我這裡用「G」來示範。
- 由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」。
- 鍵入以下指令:
g: dir /ah
看看有什麼隱藏檔,一般的隨身碟不應該有隱藏檔,如果有像下面的autorun.inf或是副檔名是.exe, .com, .bat, .cmd的隱藏執行檔,應該都是病毒檔。 - 用下列的指令刪除病毒檔:
attrib -s -h -r autorun.inf del autorun.inf attrib -s -h -r 6vu680.com del 6vu680.com 還有其他的檔案...
- 用「安全地移除硬體」移除隨身碟,再重覆1-4的步驟,如果隱藏檔還在那就是毒還沒解掉。
最後再匯入這個「恢復顯示隱藏檔」的登錄檔,完了之後看是不是可以顯示隱藏檔了(在「五個步驟,檢查你是否中了kavo病毒」有詳細的說明),如果看到了隱藏檔毒應該是解乾淨了!
至於另外一台小紅傘不能更新病毒碼的電腦也是中了相同的毒,同樣手動解毒之後,再移除小紅傘重裝就正常了。
最後再提醒大家:目前沒有一套防毒能有效防止新病毒的!本站有許多觀念性的文章你應該要好好看一看喔!(就在防毒教室最舊的那幾篇)
2009/02/23補充:如何使用隨身碟而不怕中毒請看「隨身碟的正確使用方法」
2009/03/13補充:今天客戶有一台電腦看到新的檔名,以下是autorun.inf的內容:
[AutoRun] ;idaaak73lwmsda2Ki5fJoSq0q open=xe9fdii1.cmd ;k7ZoJJie4kDssjqS330kO shell\open\Command=xe9fdii1.cmd
就是這個xe9fdii1.cmd,請大家注意
另外已經很久沒用的Symantec防毒,昨天就有一台電腦還是用這個防毒,本來以為這一台一定中毒很深,結果沒有中半隻毒,所以結論還是:「防毒觀念比防毒程式有效」。
0 留言:
張貼留言