隨身碟一插下去我就知道中毒了
該店的電腦是使用PCC(趨勢科技)的
看來這套軟體還有待加強...
既然最近沒事作
就來分析一下中毒的電腦
中毒的電腦會產生名稱為 ciribu 與 IVANA 的資料夾
其中含有一個64位元組的 Desktop.ini 檔案
google了一下這二個名稱似乎是女星....||||
主要的感染程式名為 yfpaoty.exe 感覺有點...嘲諷的意味!?
autorun.ini的內容為
很特別呀...[autorun]
/
USEAUTOPLAY=1
shell\open\command=ciribu\slavica.exe
`
icon=%SystemRoot%\system32\SHELL32.dll,4
"
Shell\open\command=ciribu\slavica.exe
\
shellexecute=ciribu\slavica.exe
>
open=ciribu\\slavica.exe
$
shell\explore\command=ciribu\slavica.exe
shell\install\command=ciribu\slavica.exe
@
action=Open folder to view file using Windows Explorer
#
感覺是外國的偏執狂寫的 XD
2010/05/19 抓到的病毒
解開密碼為 vir
2 則留言:
老板前幾天去別所大學演講
隨身碟有在那邊用過,就中獎了
正在幫忙掃除中.....
上網查了一下yfpaoty.exe
發現這幾天才有災情傳出,應該是新病毒
很多家防毒軟體都還沒偵測到
看來這病毒擴散頗快的喔~"~
用了EFix,再灌AVG
剛剛AVG有抓到順利隔離
感覺不只中一種...希望清乾淨了= ="
是全新的沒錯
NOD32(試用版)跟小紅傘都找不到
號稱雲端搜尋的Norton也無法辨識
(內容還給我顯示有少於十人信任此檔案...)
卡巴我是沒嘗試,因為實驗室沒人灌卡巴(雖然學校授權的是卡巴)
另外我用的是ubuntu10.04
所以在正常Windows底下
ciribu 跟 IVANA 資料夾是看不到的
它裡面放的desktop.ini是偽裝垃圾桶的
看來作者目標不只一支
所以這資料夾內是準備來放其他東西的
也還好正中語系在外國不好做
所以如果有使用AutoPlay功能的Vista或7
會看到第一項變成亂碼(XP中的開啟資料夾)
但是只要使用最後一項開啟資料夾
我想還不至於被安裝
張貼留言