微软还是不是微软系列(七)—USB 病毒
2010-01-16 01:54
246 查看
Windows USB病毒 -- 这么脆弱的 OS 你还要用吗?
一、 何谓USB病毒病毒透过USB可携式装置散播虽插随拔的方便性,受到感染的电脑会在各磁碟机会产生autorun.inf档案,当使用者在磁碟机的图示上点两下,便会执行autorun.inf与病毒档案,如果在受感染的电脑上使用USB可携装置,便会将病毒档案与autorun.inf复制到USB装置内,当该装置插入其他电脑使用时,因为自动播放功能会自动执行autorun.inf,病毒便可再次感染其他电脑 这样一来不管是USB还是被插的PC都已经遭受到病毒的入侵
二、 USB病毒特性
常见的病毒档案为kavo.exe、ntdelect.com、kavo1.dll(1可能为其他数字)、ubs.exe,并在各磁碟机下产生autorun.inf档案,而autorun.inf通常为隐藏档。
USB的感染木马方式:
就是USB插入的电脑或是一些硬体本身已经中间谍程式或木马程式 当插入随身碟Copy档案会启动驱动程式时就顺便一起植入木马病毒该随身碟的隐藏区。
USB得木马的症状 :
插入随身碟后,开始侦测USB的病毒磁碟机防毒软体会发现或是一些扫毒软体会读到你的USB有木马病毒并通知你 C:/windows/system32/driveinfo.exe
事实上在硬碟里 c:/windows/system32 里头根本不存在 driveinfo.exe,而是躲在随身碟的 Recycled 目录下,那里有三个隐藏档案,分别是:
driveinfo.exe、driveinfo.sdc、voinfo.dll 这三个隐藏档
另外在随身碟的根目录会新增一个隐藏档案 autorun.inf,内容是:
[AutoRun]
Open=./Recycled/Driveinfo.exe
Shell/Open/Command=./Recycled/Driveinfo.exe
然后你就想去把这些档案删除但是不管你用什么删除的方式都砍不掉!!
解决方案:
1.工作管理员中停止【inetsrv.exe 】的执行程序。
2.在Registry中删除【inetsrv.exe 】字串
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
inetsrv = "%System%/inetsrv.exe"
3.在档案总管中尤其是drive资料夹寻找及删除 Driveinfo.sdc、voinfo.dll、autorun.inf
相关文章推荐
- 微软还是不是微软系列(六)—IE 安全漏洞,造成 Google 被骇客入侵?
- ak39e系列区分usb插入电源还是pc机
- 虚拟化,令微软害怕的不是VMware 真正对手还是开源(转)
- 第一次怀疑是微软bug,还是我又错了?以前都是从自己身上找问题,这次想从微软身上找问题了
- 微软Microsoft系列产品
- 金山加入微软病毒信息联盟 与世界反病毒公司共享信息
- 证书和签名--试用微软提供的证书测试工具系列
- Linux性能测试命令系列(6)- 用strace查看给定命令是标准错误输出(2)还是标准输出(1)
- 敏捷开发“松结对编程”系列之八:微软 Tech ed2011 自组织团队与松结对编程讲稿(敏捷开发)
- 其他的网站能上,微软网站不能上是由病毒引起的
- 登陆还是登录,被微软骗了一把
- 永久勘误:微软等面试100题系列,答案V0.4版[第41-60题答案]
- ndy 10终于随着Delphi2005发布了,不过indy套件在我的印象中总是复杂并且BUG不断,说实话,不是看在他一整套组件的面子上,我还是喜欢VCL原生的Socket组件,简洁,清晰。Indy9
- 姜还是老的辣:微软才是Android阵营的大赢家
- 专访赛门铁克CEO:微软不是对手 并购大势所趋
- 《微软ASP.NET站点部署指南》系列技术文章整理收藏
- 微软企业库5.0 学习之路系列文章索引
- [分类整理II]微软等100题系列V0.1版:链表面试题集锦
- Win32关于GDI 的API (Win32的API函数是微软自己的东西,可以直接在C#中直接调用,在做WinForm时还是很有帮助的。有时候我们之直接调用Win32 的API,可以很高效的实现想要)