1. Home
  2. 电脑支持
  3. Virus Issues
Virus Issues

USB Virus 

Prevention

  • 我们预计赛门铁克将很快为客户端机器提供反病毒定义.
  • 正在创建一个Active Directory GPO以阻止此激活.


电脑感染识别

感染此病毒的计算机将出现以下症状:

Windows 7

  • 将出现以下注册表项/值:

关键:微软HKEY_CURRENT_USER \ Software \ \ Windows \ CurrentVersion \运行

Value:  REG_SZ: "Adobe Reader Speed Launcher" = "C:\Users\\AppData\.exe"

  • 将出现在登录用户上下文中运行的进程. It will 将上述注册表值中出现的任何名称命名. 使用任务管理器 确定PID. 您可能必须通过选择在任务管理器中添加PID列 the View -> Select Columns menu.
  • 来自上述PID的网络连接将显示到IP地址的出站流量 on port 6739. 这可以通过在命令shell中运行以下命令来确定:

netstat -no

示例输出:

Proto Local Address Foreign Address State PID

TCP 172.16.61.128:49546 91.211.117.[05:67 . 39]建立

  • 该病毒将出现在注册表值对应的文件系统位置上. For example: C:\Users\\AppData\.exe

Windows XP

  • 在Windows XP中,病毒会将自己注入浏览器.Exe并隐藏注册表 条目、任务管理器中的进程和文件系统上的文件. 可以看到值 从安全模式,但不是正常模式.

 

u盘标识

感染此病毒的USB驱动器将出现以下症状:

  • An autorun.驱动器根目录下的Inf文件将出现. 这个的输出示例 file is:

;??Ėy?z??????fz?ҝՇ?ko?
;r?~?f?khyj???ǜ?z?n?c????˱z?˴??n??????q????o?d??????͓???e?i???k??~?l????d????b??tѱyw?}??Ƌ|lk|ӄҎ????}ne?ӊ?˻?Ϸ?b|????˕léru?Ӌgsp{ш?ѿ?ъp??f{??Ϟ????~??n?????˾s?????|כ???????װ???f??e??v?m??f?~~????????ؑӵ??~?˃???ry?t?????Τ??????Ğ??n?v??????՚֑}??Ȕ?ӝe?~????????????uc?t?~?
;??g???j?a???p?Ғ????q???ԛn?{?f??ϊӮ??j|?؅bqœ?j?m?ńe?t~?ث??t??????v?Ǚ???
;??̜?ҿ??h~?Ű?ѓ????r?Ƴ?|Ӄ??h?҅?p?ep?????????k?~????p????͕p??՞??oľ?}î?ku???u???n?֪?e???p??z??ķaj??ŕ????k???y??????bf??Ҍ????m?p?}??ũ??Lj?́????z???bg׶??????w?????ɵ??f???|??shp??̇?|qb???~o?z?q?????̩|??r{uu??g?mx?????q??h???
;??n???dxʔ?m?Ƞ??Οr?Ҙþ????У?e׽{??n?j?oĊa??|??????w?y?k????du???o??֘?c֣?Ǣz???ӛÈ?m?k?yɔ???s

An autorun.过滤掉注释的指令集显示了真正的指令集:

[autorun]
action=打开文件夹查看文件
icon=shell32.dll,4
= AdobeReader \ DSCI5271开放.jpg
外壳\探索=探索
外壳\ \命令= AdobeReader \ DSCI5271探索.jpg
shell=Explore
UseAutoPlay=1

  • 将出现以下文件夹和文件,即病毒:

AdobeReader \ DSCI5271.jpg

Note: 文件名可能不同.

  • 驱动器上的所有顶级文件夹都将设置隐藏和系统属性. 如果将资源管理器设置为查看隐藏文件和系统文件,则可以显示此选项.
  • 顶级文件夹名称将被替换为快捷链接. 这些快捷方式 当用户打开快捷方式时执行病毒,认为他们正在打开自己的文件夹.

 

从电脑中删除

Windows 7

  • 打开regedit并删除以下键/值:

Key:  微软HKEY_CURRENT_USER \ Software \ \ Windows \ CurrentVersion \运行

Value: REG_SZ: "Adobe Reader Speed Launcher" = "C:\Users\\AppData\random_filename.exe"

  • 从文件系统中删除该值中指定的文件. 可能有多个 .exe %APPDATA%中的病毒文件名称不同,但大小相同. 把这些也删掉.

Windows XP

执行与Windows 7相同的过程,只是在安全模式下.

 

从USB设备中移除

  • 删除自动运行.inf.
  • 删除AdobeReader目录.
  • Delete all .lnk files.
  • 从顶级文件夹中删除隐藏属性和系统属性. 这是可以做到的 在资源管理器(设置为显示隐藏和系统文件后,从视图菜单.


NOTE: 康奈尔IT安全开发了一个批处理文件来帮助清理USB的这种特殊 问题,并允许我们也利用该程序: USB Clean