微软还是不是微软系列（七）—USB 病毒

Windows USB病毒 -- 这么脆弱的 OS 你还要用吗?

一、 何谓USB病毒

病毒透过USB可携式装置散播虽插随拔的方便性，受到感染的电脑会在各磁碟机会产生autorun.inf档案，当使用者在磁碟机的图示上点两下，便会执行autorun.inf与病毒档案，如果在受感染的电脑上使用USB可携装置，便会将病毒档案与autorun.inf复制到USB装置内，当该装置插入其他电脑使用时，因为自动播放功能会自动执行autorun.inf，病毒便可再次感染其他电脑 这样一来不管是USB还是被插的PC都已经遭受到病毒的入侵

二、 USB病毒特性

常见的病毒档案为kavo.exe、ntdelect.com、kavo1.dll（1可能为其他数字）、ubs.exe，并在各磁碟机下产生autorun.inf档案，而autorun.inf通常为隐藏档。

USB的感染木马方式：

就是USB插入的电脑或是一些硬体本身已经中间谍程式或木马程式 当插入随身碟Copy档案会启动驱动程式时就顺便一起植入木马病毒该随身碟的隐藏区。

USB得木马的症状 :

插入随身碟后，开始侦测USB的病毒磁碟机防毒软体会发现或是一些扫毒软体会读到你的USB有木马病毒并通知你 C:/windows/system32/driveinfo.exe

事实上在硬碟里 c:/windows/system32 里头根本不存在 driveinfo.exe，而是躲在随身碟的 Recycled 目录下，那里有三个隐藏档案，分别是：

driveinfo.exe、driveinfo.sdc、voinfo.dll 这三个隐藏档

另外在随身碟的根目录会新增一个隐藏档案 autorun.inf，内容是：

[AutoRun]
Open=./Recycled/Driveinfo.exe
Shell/Open/Command=./Recycled/Driveinfo.exe

然后你就想去把这些档案删除但是不管你用什么删除的方式都砍不掉!!

解决方案：

1.工作管理员中停止【inetsrv.exe 】的执行程序。
2.在Registry中删除【inetsrv.exe 】字串
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
inetsrv = "%System%/inetsrv.exe"
3.在档案总管中尤其是drive资料夹寻找及删除 Driveinfo.sdc、voinfo.dll、autorun.inf