写在前面
为了电脑的速度和稳定性,我向来都不装杀软。(尤其是3某,体验极差)两年以来也没有出什么大问题。这次就出岔子了……为了不让我家里的电脑出问题,我没用在家里用那个U盘,所以也得不到图片,只能靠我描述了,可能会有一点枯燥,理解一下。
这个病毒最早发现在学校的电脑里,然后我的U盘顺其自然的被感染了。
系统信息:win7,无杀软,经常有usb接入。
病毒的发现
现在看起来发现的比较晚,最开始只是U盘的图标变成文件夹图标,出现了一个“RECYCLER”文件夹,也没太在意。但后来发现每个插入的U盘都会出现这种区块,看起来事情有点不对。
当我试图在其他电脑上更改U盘的图标时,复制autorun.inf(下面有autorun.inf的介绍)文件进入U盘,弹出了“替换文件”的弹窗。尽管我打开了显示隐藏文件,在文件管理器中也看不到这个原始文件。所以这个应该是病毒搞的鬼了,但是我始终看不到这个文件,也看不到它的内容,于是直接替换掉了。
然后U盘看似恢复了正常,病毒也没有其他的攻击行为,没有对使用造成影响,就没怎么管了。
autorun.inf
autorun.inf是我们电脑使用中比较常见的文件之一 ,其作用是允许在双击磁盘时自动运行指定的某个文件。也就是说,当U盘插入一台电脑,autorun.inf里的代码会自动执行。
初步判断
对计算机不造成威胁,类似恶作剧程序,通过在U盘中添加autorun.inf文件替换U盘图标并实现自我复制。
进一步发现
为了杀毒彻底,我下了个火绒杀毒,结果一扫发现137个病毒!
最开始我还因为是杀毒软件有问题,因为这些都是我自己的文件,但我用NotePad++打开其中几个HTM文件的源码,在最后发现了同一段代码:
代码解读
第一行是原文件内容
第二行作用是创建一个名为“svchost.exe”的进程
第三行:向进程写入代码。(这串代码就是病毒内容了,应该是加了密,反正我看不懂)
第五行:创建文件夹
第六行:判断文件是否存在,若不存在就继续执行。
第七行:创建文件
后面的都没什么很关键的了。(其实是我没看懂,如果有大佬看懂了联系邮箱:[email protected])
然后我进行了全盘扫描,包括很多系统文件在内,感染了一千多个文件。
进一步判断
当U盘插入或带病毒的程序启动后,病毒会在U盘中添加autorun.inf文件替换U盘图标并将自己的代码复制到EXE和HTM等所有可以修改的文件当中,一旦这些文件运行,程序又会重新启动并重复操作。
这就很严重了,我U盘里的大部分文件基本上都被感染了,尤其是EXE只能删除整个文件才能杀毒。所以为了保存数据,现在还没有删也没有用了。。。
虽然这个病毒非常容易杀,但是在杀毒之后,部分exe文件和部分dll文件会被删除。导致电脑里很多软件用不了。
但是非常奇怪的是,这个病毒没有任何其他的攻击行为。
反编译(明显不是我能做到的)
对U盘“RECYCLER”文件夹里的唯一一个EXE反编译。(这个文件在每一个U盘里名字不一样,但都是随机字母)
直接打开,明显看得出是加了壳。但是可以把后缀去掉,再打开就清晰很多了。说明这个病毒比较古老了。
可以读出的信息:
- version:1.0
- 软件描述:bitdefender控制台(这是一个杀毒软件,明显是假的)
- 有一行代码有微软的一个网站,但是不知道是干嘛的。也许是攻击微软服务器的?
- 病毒缺失一个.c文件,所以不能执行攻击。
结语
目前的进展只能到这里,反正这个U盘最近是用不了了。
我回家马上装上了ESET……
为了让你们不要有这样的遭遇,最后是两款顶级杀软的激活码(ESET是我自己的,最好还是不要用): - ESET Internet Security
CNDU-W33G-FGJC-C62B-9MPK(已添加到文件中)
注意在下载是最好选离线安装包。
网络搜集的ESET码
官方ESET软件下载页面
