引子
这个版本的灰鸽子已经出来有些日子了,但最近两天居然开始在我们这里通过U盘快速流行。尽管我始终保持每日更新SAV病毒定义,但它仍然对这个威胁无动于衷。
其实手工清除这个木马也并不复杂(用runaut..和dllhost两个关键字一搜就能找到n个地方的转载,但其中关于删除runaut..文件夹的方法不适用,详见下文),而且它自我复制和传播的手法也十分的原始,依然是在各个盘符根目录下写autorun.inf并在其中指向木马运行文件,一旦执行该文件,那么就公式似的干一系列事情:
在系统目录下插入一个以系统进程命名的病毒文件->修改注册表,加入服务项->修改常用exe文件的关联->启动木马进程并自我保护防止被结束。
很俗的一个流程。
只是它采取了在windows下非法的目录名作为存放木马运行文件的保护措施,也就是那个删不掉的runaut..文件夹。为嘛删不掉?因为它根本就不叫runaut..,本名是runauto...\,这个名字虽然在windows下是非法的,但可以通过命令行的方式创建出来。不信可以这样试:
在运行中输入cmd,打开命令行窗口,输入命令:
md a...\
然后dir一下,就能看到一个名为a..的目录,然后要删掉它的话,再输入命令:
rd a...\
就没了。这对于没用过DOS的人来说可能很神奇吧。那个runaut..目录也要这样才能干掉,只不过因为它非空(里面有病毒本体文件),所以要给rd加上/s /q两个参数:
rd runauto...\
不明白这个命令的话可以rd /?一下。(上面的命令没写错,是runauto...\)
言归正传
其实我今天并不想说这个狗屎木马该如何清理。我只是在想,通过在移动设备中写入autorun.inf这种方式来进行传播的病毒木马已经出了很多很多了,而杀毒软件一般都是直接干掉autorun中指向的病毒/木马执行文件,然后就扔下autorun.inf不管了。这恐怕是出于一种怕错删autorun.inf的考虑,但我们可以想一下,有多少U盘、移动硬盘中会好好的出现autorun.inf?在移动设备中安插autorun.inf有什么用意?可以说90%以上的可能都是病毒或木马的入口。既然如此,为什么杀毒软件就不能特别关照一下移动设备中的autorun.inf文件呢?那可是个纯文本文件啊,病毒/木马执行文件的位置、名字都在里面写的一清二楚。
各位杀毒软件大哥们,稍微分析一下autorun.inf就能知道是什么病毒,在哪里,这应该不困难吧。面对用非法目录名来命名文件夹这种下三滥的手法,你们不会也弹出一个什么“windows...引用了一个不可用的位置...”的弱智提示吧。
为什么直到现在,用autorun.inf传播的病毒还这么猖獗呢?杀毒软件们,求求你们了,别再那么弱智了。别再让我继续手工杀毒了,很烦的!
尾巴
在这里,我可以大胆预测:
1.明天(4月25日)的SAV病毒定义仍然杀不掉这个新版灰鸽子
2.如果有一天SAV的病毒定义能杀掉了这个木马,U盘中的autorun.inf还会留在那里
呃...引子写了这么长,正文这么短,大头外星人一样,这样的作文要是高中老师看了又要给不及格了。呵呵...睡了
1211
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
