[閒聊] 最近遇到的機車隨身碟病毒!
之前隨身碟病毒通常都是建立autorun.inf去傳染病毒,
後來我們都幫隨身碟做一個免疫資料夾,
或是用超級巡警USB免疫器幫隨身碟做免疫,
其原理就是建立一個無法刪除的資料夾,
當你刪除時,會出現「無法刪除 無法讀取來源資料夾或檔案」的視窗,想要刪掉這個資
料夾除了解除免疫,也只能做格式化了。
剛剛碰到一個case,想說只是單純的隨身碟中毒,
沒想到這個隨身碟病毒會破壞系統檔案,cmd、regedit等全部破壞,
開機時會跳出工作管理員視窗,但是這是病毒造成的假象,
病毒傳染途徑是一個為driver.exe的檔案,
一開機會執行的檔案藏在C:\Windows\Tasks 內,檔名為taskmgr.exe,
這個檔案就算你解除"隱藏檔案"、"顯示所有系統檔案"都看不到,
你看得到隱藏檔案、系統檔案就是看不到它,
最機車的是,它會學免疫器在傳染途徑的資料夾內,
建一個讓你刪不掉的資料夾,
檔案名稱例如像:
F:\recycle.{S-1-5-21-823518204-2000478354-1177238915-500}\safe.
就算你刪掉病毒傳染檔案,這個資料夾也是讓你刪不掉,
當你要刪掉這個病毒資料夾,也會出現「無法刪除 無法讀取來源資料夾或檔案」視窗
變成你要把所有檔案都拉出來,再重新格式化,這個垃圾資料夾才會刪掉,
開始頭痛了!!!!!!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.120.240.103
推
07/09 03:42, , 1F
07/09 03:42, 1F
→
07/09 03:42, , 2F
07/09 03:42, 2F
推
07/09 03:50, , 3F
07/09 03:50, 3F
→
07/09 10:31, , 4F
07/09 10:31, 4F
→
07/09 10:32, , 5F
07/09 10:32, 5F
推
07/09 16:31, , 6F
07/09 16:31, 6F
推
07/09 20:30, , 7F
07/09 20:30, 7F
→
07/10 16:40, , 8F
07/10 16:40, 8F