通过U盘传播的“病毒”

通过U盘传播的“病毒”

 

最近我们同学的 U 盘、 MP3 、移动硬盘等在使用时，不约而同的出现了奇怪的现象。

 

症状：

1. 在 U 盘中发现多出“ autorun.inf 、 bittorrent.exe 、 RavMonLog 、 msvcr71.dll ”这些文件，其中只有“ RavMonLog ”不是隐藏的，其它文件的属性都是系统＋隐藏的。

2. 当双击打开 U 盘时速度很慢，而且打开后是弹出资源管理器的页面，右击弹出的菜单的默认项是“ Auto ”， U 盘使用后删除不了。

3. 在电脑的进程中发现“ bittorrent.exe ”， C:/Windows 目录下发现“ bittorrent.exe ”文件，系统自启动项有加载此文件。

4. 采用金山毒霸和瑞星的最新版本均显示无毒。

 

分析：

1. U 盘中的“ autorun.inf ”文件是一个配置文件，我们在双击 U 盘打开时，系统就会运行这个配置文件，在此文件中我们可以设置双击时运行的程序，也可以更改 U 盘的图标等等。以下是文件的内容：    

[AutoRun]

       open=bittorrent.exe e

       shellexecute=bittorrent.exe e

       shell/Auto/command=bittorrent.exe e

       shell=Auto

   从这些内容我们可以看出，在你双击了 U 盘后，将会运行 U 盘中的“ bittorrent.exe ”文件。

2.  现在我们再来看看“ msvcr71.dll ”这个文件，它是 VC7 的运行库，也就是说“ bittorrent.exe ”文件是用 .NET 编写的，运行时要经过二次编译，因此在启动时会感到慢。

3.  由于双击后运行了“ bittorrent.exe ”这个程序，所以 U 盘无法安全删除。

 

 

结论：

1. 如果电脑被感染了，就会对所有连接到此电脑上的移动存储器拷入这些文件，使移动存储器成为另一个传播源。

2. 如果 U 盘、 MP3 等移动存储器被感染了，就可以通过双击盘符，进行传播

3. 但是如果你用右键单击盘符再选打开，就不会被感染。

 

 

解决方法：

       首先打开任务管理器，在里一个面找找有没有“ bittorrent.exe ”这个进程，可能不止一个，找到后就把他们全都关闭；然后查看注册表，看看启动项是否有加载“ bittorrent.exe ” , 如果有把它删除；接着打开 C:/Windows/ 目录下有无“ bittorrent.exe ”文件，如果有删除它；到此我们已经完成电脑部分的清除工作了，接下来清除 U 盘。首先我们用右键单击在菜单中选“打开”，打开 U 盘；在文件夹选项中设置以显示所以文件，具体做法：文件夹选项 -> 查看 -> 去掉“隐藏受保护的操作系统文件（推荐）”选项 -> 选择“显示所以文件和文件夹”；接着我们直接删除 U 盘中的“ autorun.inf 、 bittorrent.exe 、 RavMonLog 、 msvcr71.dll ”这四个文件；最后重启一下电脑就恢复了。

 

 

备注：

1.   到目前为止不知道此文件是否为病毒，因为不懂得它的危害性，只是知道它能非法重播，或许只是个恶作剧的程序，或许是木马。

2.   感染后文件名可能不同，但 U 盘中肯定会有“ autorun.inf ”文件。

3.   似乎和以前在 U 盘中发现的“ meetingnote.exe ”有异曲同工之处。