关闭

通过U盘传播的“病毒”

标签: 存储shell.net金山任务工作
3912人阅读 评论(2) 收藏 举报
分类:
通过U盘传播的“病毒”
 
最近我们同学的U盘、MP3、移动硬盘等在使用时,不约而同的出现了奇怪的现象。
 
症状:
1. U盘中发现多出“autorun.infbittorrent.exeRavMonLogmsvcr71.dll”这些文件,其中只有“RavMonLog”不是隐藏的,其它文件的属性都是系统+隐藏的。
2. 当双击打开U盘时速度很慢,而且打开后是弹出资源管理器的页面,右击弹出的菜单的默认项是“Auto”,U盘使用后删除不了。
3. 在电脑的进程中发现“bittorrent.exe”,C:/Windows目录下发现“bittorrent.exe”文件,系统自启动项有加载此文件。
4. 采用金山毒霸和瑞星的最新版本均显示无毒。
 
分析:
1. U盘中的“autorun.inf”文件是一个配置文件,我们在双击U盘打开时,系统就会运行这个配置文件,在此文件中我们可以设置双击时运行的程序,也可以更改U盘的图标等等。以下是文件的内容:   
[AutoRun]
       open=bittorrent.exe e
       shellexecute=bittorrent.exe e
       shell/Auto/command=bittorrent.exe e
       shell=Auto
   从这些内容我们可以看出,在你双击了U盘后,将会运行U盘中的“bittorrent.exe”文件。
2.  现在我们再来看看“msvcr71.dll”这个文件,它是VC7的运行库,也就是说“bittorrent.exe”文件是用.NET编写的,运行时要经过二次编译,因此在启动时会感到慢。
3.  由于双击后运行了“bittorrent.exe”这个程序,所以U盘无法安全删除。
 
 
结论:
1. 如果电脑被感染了,就会对所有连接到此电脑上的移动存储器拷入这些文件,使移动存储器成为另一个传播源。
2. 如果U盘、MP3等移动存储器被感染了,就可以通过双击盘符,进行传播
3. 但是如果你用右键单击盘符再选打开,就不会被感染。
 
 
解决方法:
       首先打开任务管理器,在里一个面找找有没有“bittorrent.exe”这个进程,可能不止一个,找到后就把他们全都关闭;然后查看注册表,看看启动项是否有加载“bittorrent.exe,如果有把它删除;接着打开C:/Windows/目录下有无“bittorrent.exe”文件,如果有删除它;到此我们已经完成电脑部分的清除工作了,接下来清除U盘。首先我们用右键单击在菜单中选“打开”,打开U盘;在文件夹选项中设置以显示所以文件,具体做法:文件夹选项 ->查看 -> 去掉“隐藏受保护的操作系统文件(推荐)”选项 -> 选择“显示所以文件和文件夹”;接着我们直接删除U盘中的“autorun.infbittorrent.exeRavMonLogmsvcr71.dll”这四个文件;最后重启一下电脑就恢复了。
 
 
备注:
1.  到目前为止不知道此文件是否为病毒,因为不懂得它的危害性,只是知道它能非法重播,或许只是个恶作剧的程序,或许是木马。
2.  感染后文件名可能不同,但U盘中肯定会有“autorun.inf”文件。
3.  似乎和以前在U盘中发现的“meetingnote.exe”有异曲同工之处。
0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:69963次
    • 积分:917
    • 等级:
    • 排名:千里之外
    • 原创:18篇
    • 转载:3篇
    • 译文:1篇
    • 评论:17条
    最新评论