通过U盘传播的“病毒”
2006-06-04 21:08
351 查看
[align=left]通过U盘传播的“病毒”[/align]
最近我们同学的U盘、MP3、移动硬盘等在使用时,不约而同的出现了奇怪的现象。
症状:
1. 在U盘中发现多出“autorun.inf、bittorrent.exe、RavMonLog、msvcr71.dll”这些文件,其中只有“RavMonLog”不是隐藏的,其它文件的属性都是系统+隐藏的。
2. 当双击打开U盘时速度很慢,而且打开后是弹出资源管理器的页面,右击弹出的菜单的默认项是“Auto”,U盘使用后删除不了。
3. 在电脑的进程中发现“bittorrent.exe”,C:/Windows目录下发现“bittorrent.exe”文件,系统自启动项有加载此文件。
4. 采用金山毒霸和瑞星的最新版本均显示无毒。
分析:
1. U盘中的“autorun.inf”文件是一个配置文件,我们在双击U盘打开时,系统就会运行这个配置文件,在此文件中我们可以设置双击时运行的程序,也可以更改U盘的图标等等。以下是文件的内容:
[AutoRun]
open=bittorrent.exe e
shellexecute=bittorrent.exe e
shell/Auto/command=bittorrent.exe e
shell=Auto
从这些内容我们可以看出,在你双击了U盘后,将会运行U盘中的“bittorrent.exe”文件。
2. 现在我们再来看看“msvcr71.dll”这个文件,它是VC7的运行库,也就是说“bittorrent.exe”文件是用.NET编写的,运行时要经过二次编译,因此在启动时会感到慢。
3. 由于双击后运行了“bittorrent.exe”这个程序,所以U盘无法安全删除。
结论:
1. 如果电脑被感染了,就会对所有连接到此电脑上的移动存储器拷入这些文件,使移动存储器成为另一个传播源。
2. 如果U盘、MP3等移动存储器被感染了,就可以通过双击盘符,进行传播
3. 但是如果你用右键单击盘符再选打开,就不会被感染。
解决方法:
首先打开任务管理器,在里一个面找找有没有“bittorrent.exe”这个进程,可能不止一个,找到后就把他们全都关闭;然后查看注册表,看看启动项是否有加载“bittorrent.exe”,如果有把它删除;接着打开C:/Windows/目录下有无“bittorrent.exe”文件,如果有删除它;到此我们已经完成电脑部分的清除工作了,接下来清除U盘。首先我们用右键单击在菜单中选“打开”,打开U盘;在文件夹选项中设置以显示所以文件,具体做法:文件夹选项 ->查看 -> 去掉“隐藏受保护的操作系统文件(推荐)”选项 -> 选择“显示所以文件和文件夹”;接着我们直接删除U盘中的“autorun.inf、bittorrent.exe、RavMonLog、msvcr71.dll”这四个文件;最后重启一下电脑就恢复了。
备注:
1. 到目前为止不知道此文件是否为病毒,因为不懂得它的危害性,只是知道它能非法重播,或许只是个恶作剧的程序,或许是木马。
2. 感染后文件名可能不同,但U盘中肯定会有“autorun.inf”文件。
3. 似乎和以前在U盘中发现的“meetingnote.exe”有异曲同工之处。
最近我们同学的U盘、MP3、移动硬盘等在使用时,不约而同的出现了奇怪的现象。
症状:
1. 在U盘中发现多出“autorun.inf、bittorrent.exe、RavMonLog、msvcr71.dll”这些文件,其中只有“RavMonLog”不是隐藏的,其它文件的属性都是系统+隐藏的。
2. 当双击打开U盘时速度很慢,而且打开后是弹出资源管理器的页面,右击弹出的菜单的默认项是“Auto”,U盘使用后删除不了。
3. 在电脑的进程中发现“bittorrent.exe”,C:/Windows目录下发现“bittorrent.exe”文件,系统自启动项有加载此文件。
4. 采用金山毒霸和瑞星的最新版本均显示无毒。
分析:
1. U盘中的“autorun.inf”文件是一个配置文件,我们在双击U盘打开时,系统就会运行这个配置文件,在此文件中我们可以设置双击时运行的程序,也可以更改U盘的图标等等。以下是文件的内容:
[AutoRun]
open=bittorrent.exe e
shellexecute=bittorrent.exe e
shell/Auto/command=bittorrent.exe e
shell=Auto
从这些内容我们可以看出,在你双击了U盘后,将会运行U盘中的“bittorrent.exe”文件。
2. 现在我们再来看看“msvcr71.dll”这个文件,它是VC7的运行库,也就是说“bittorrent.exe”文件是用.NET编写的,运行时要经过二次编译,因此在启动时会感到慢。
3. 由于双击后运行了“bittorrent.exe”这个程序,所以U盘无法安全删除。
结论:
1. 如果电脑被感染了,就会对所有连接到此电脑上的移动存储器拷入这些文件,使移动存储器成为另一个传播源。
2. 如果U盘、MP3等移动存储器被感染了,就可以通过双击盘符,进行传播
3. 但是如果你用右键单击盘符再选打开,就不会被感染。
解决方法:
首先打开任务管理器,在里一个面找找有没有“bittorrent.exe”这个进程,可能不止一个,找到后就把他们全都关闭;然后查看注册表,看看启动项是否有加载“bittorrent.exe”,如果有把它删除;接着打开C:/Windows/目录下有无“bittorrent.exe”文件,如果有删除它;到此我们已经完成电脑部分的清除工作了,接下来清除U盘。首先我们用右键单击在菜单中选“打开”,打开U盘;在文件夹选项中设置以显示所以文件,具体做法:文件夹选项 ->查看 -> 去掉“隐藏受保护的操作系统文件(推荐)”选项 -> 选择“显示所以文件和文件夹”;接着我们直接删除U盘中的“autorun.inf、bittorrent.exe、RavMonLog、msvcr71.dll”这四个文件;最后重启一下电脑就恢复了。
备注:
1. 到目前为止不知道此文件是否为病毒,因为不懂得它的危害性,只是知道它能非法重播,或许只是个恶作剧的程序,或许是木马。
2. 感染后文件名可能不同,但U盘中肯定会有“autorun.inf”文件。
3. 似乎和以前在U盘中发现的“meetingnote.exe”有异曲同工之处。
相关文章推荐
- 关于通过U盘传播病毒的防治于清理
- 强烈推荐Auto专杀 V2.0 b0501_简体中文绿色免费版_查杀内存中几十种通过U盘传播的病毒
- 基于U盘传播的简单病毒
- 新电脑病毒可通过“空气”传播 距离近则感染
- 基于U盘传播的简单病毒
- 病毒伪装成ZIP压缩包图表 利用U盘传播病毒
- 通过U盘和局域网共享传播的批处理代码
- 抓到通过U盘传播的 Virus.Win32.AutoRun.ab/Worm.Win32.Agent.zhw/setup.exe
- 遭遇通过U盘传播的蠕虫Worm.Win32.Agent.aj/setup.exe等
- 通过组策略禁用U盘执行病毒文件
- 两步遏止U盘传播病毒
- 模拟细菌(病毒)传播(java作业)
- 大家都来用用iGoogle吧 (希望大家能通过QQ群,邮件,好友等帮我传播一下,谢谢)
- NSA永恒之蓝病毒,如何通过360工具修复?
- 通过病毒名称识病毒
- U盘小病毒源代码
- XP中预防U盘自动运行病毒的方法!
- 通过对一个病毒源码的分析,了解VBS脚本语言的应用
- [英语阅读]黑客以MJ之名传播病毒
- HG255d通过U盘搭载php服务器