Shunze 學園 (http://www.shunze.info/forum/index.php)
|- 病毒追追追 (http://www.shunze.info/forum/board.php?boardid=6)
|-- 《分享》隨身碟病毒backup.exe (http://www.shunze.info/forum/threadid.php?boardid=6&threadid=1575)


作者: shunze 發表時間: 2008-07-09, 15:45:

《分享》隨身碟病毒backup.exe

這幾天同事拿一個有問題的隨身碟給我,他懷疑其中有病毒。

經我查看之後,發現根目錄下有autorun.inf這個檔案,同時還有一些不正常的執行檔,確定是有毒!

在清除完可疑病毒後,我突然發現一個名為backup.exe的“目錄”。



我心想這個目錄著實奇怪?
於是在好奇心驅使下,我點了進去...
然後...中毒...


原來這是一個偽裝為目錄/資料夾/folder的病毒,而且跟一般隨身碟病毒一樣,有很強的傳染力。

目前知道的解毒方法如下:
1.重新開機進入安全模式,然後在以下路徑中找到backup.exe以及_backup.exe全部刪掉。
C:\Program Files\Common Files\Microsoft Shared\MSINFO\
(注意:這些都是隱藏檔,要打開隱藏屬性才能看到。)

2.在註冊機碼中搜尋backup.exe,將其相關機碼刪除。
(注意:不要誤刪ntbackup.exe,這是windows內建的正常程式。)

經過以上兩個步驟處理,我的電腦已不具感染力,暫時看起來是OK的...
同時也希望大家小心,不要以為icon顯示為folder就真的是folder!


PS.
第一次看到這種這麼“大”的病毒...
一般來說病毒都是做的很小巧,便於傳播。
感覺上這隻病毒只是個試作品,感染的也不夠深入,還有很大的進步空間...


附加檔案為backup.exe病毒樣本。
有興趣研究的人請自行下載,小心使用∼

上傳的檔案
Backup.rar (1782 KB, 已經被下載 2001 次)

Powered by: Burning Board 1.1.1 2001 by WoltLab
Taiwan Translation by Achi