隨身碟病毒資料夾.exe @ 尋琴紀 - 隨意窩

去年9月寫過一篇關於隨身碟病毒的文章， 當時還是停留在第一代autorun.inf的階段 ... 夾.exe」 - 病毒名稱：[email protected] sqx蠕蟲會刪除網路瀏覽記錄，並利用隨身碟 ... 尋琴紀Lifeisn'taboutwaitingforthestormtopass...it'saboutlearningtodanceintherain.日誌相簿影音好友名片 200911141915隨身碟病毒資料夾.exe?電腦雜事去年9月寫過一篇關於隨身碟病毒的文章， 當時還是停留在第一代autorun.inf的階段， 現在此病毒已經進化到第二代了， 設立autorun.inf資料夾防止autorun.inf寫入執行惡意程式已經無效， 取而代之的是「複製資料夾.exe」 - 病毒名稱：[email protected] sqx蠕蟲會刪除網路瀏覽記錄，並利用隨身碟散播。

　sqx蠕蟲會在啟動區增加連結，在電腦重新開啟時會自動啟動。

蠕蟲執行後，會刪除IE瀏覽器的cookie記錄檔。

另外，當有隨身碟插入時，會將原本的資料夾隱藏，新增和原資料夾相同名稱的.exe檔案，並將圖示顯示為資料夾，當使用者將隨身碟插入其它電腦，會自動啟動被感染的檔案，讓電腦也中毒。

病毒發現日期：2008/12/25影響平台：Windows95/98/ME,WindowsNT/2000/XP/2003散播程度：中破壞程度：高 [email protected]行為描述：註：在Win95/98/me%System%預設值為C:windowsSystem在WinNT/2000/XP/2003%System%系統預設值為C:WinNTSystem32註：Win95/98/ME系統%啟動%預設為C:WINDOWSStartMenuPrograms啟動WinNT/2000/XP/2003系統預設值為D:DocumentsandSettingsAllUsers「開始」功能表程式集啟動·病毒執行後，在%System%產生3420E7資料夾3420E7A853EE.EXE3420E7cnvpe.fne3420E7com.run3420E7dp1.fne3420E7eAPI.fne3420E7internet.fne3420E7krnln.fnr3420E7RegEx.fnr3420E7shell.fne......·病毒執行後，將病毒本身複製到%啟動%，使開機並啟動病毒。

A853EE.lnk·病毒執行後，會刪除瀏覽器cookie資料夾內的資料(此資料夾存放使用者上網記錄)。

·病毒執行後，會感染插入電腦的隨身碟，並進行以下行為：1.將隨身碟中原本的資料夾隱藏。

2.新增和原本資料夾名稱的.exe檔案，並將圖示改成資料夾。

3.新增autorun.inf檔案，隨身碟插入電腦後，會自動執行蠕蟲。

　這個問題比較大值得注意的是即使關閉Autorun.inf之執行或是自創一個唯讀的檔案，都不能夠完全防禦，此外更有可能誤執行惡意程式執行檔，而導致電腦遭USB中的惡意程式感染後門大開。

資料來源：致格高中資訊服務專區 - ▼這是一般使用隨身碟時的畫面，沒什麼特別。

▼使用副檔名以及顯示隱藏隱藏檔來看看：工具>資料夾選項>檢視     ▼出現畫面如下：     ▼更換檢視方式看看有什麼不同：右鍵>檢視>詳細資料   ▼出現畫面如下：     ▼將資料夾.exe直接按住shift刪除，並將正常資料夾取消隱藏。

    解決方法： 1.下載EFix。

EFix是PTTJunorn大大辛苦製作出來專門對付隨身碟病毒很好用的解毒軟體， 「點這裡下載」：進去後點右邊的「EFix下載連結」，即可下載最新版的EFix。

  2.將隨身碟插上電腦後執行EFix。

    3.點選「開始」執行掃描。

    ▼掃描過程中不要執行其他程式，直到畫面自動結束。

     ▼掃描完畢後桌面上會出現一個文字檔，記錄剛剛掃描的各項記錄。

    從上面的說明， 此種隨身碟病毒的特徵會刪除cookie與可能執行惡意程式導致後門大開， 可是我覺得剛開始對我可能比較困擾的是， 不知道原來的檔案已經隱藏，以為真的不見了， 而為了徹底殺毒將整個隨身碟格式化， 導致原來的資料夾也跟著格式化（這次是真的不見了）， 如果裡面有什麼重要的資料的話，那就損失重大了。

  使用EFix是能消除隨身碟病毒， 但因為當你把隨身碟使用在外面的公用電腦（如公司電腦）就很容易再次感染， 有一些小建議是我目前在使用的方式提供參考， 應該可以降低再次感染的機率....^^b   1.使用「副檔名」以及用「詳細資料」檢視隨身碟 使用副檔名可以看到資料夾出現.exe的副檔名， 不過不習慣使用副檔名時，在更改檔名時可能會誤刪該副檔名致使無法更名，這是剛開始比較困擾的地方。

使用詳細資料檢視可以看到資料夾是否有檔案大小， 這是最簡單判斷的方式。

  2.使用檔案總管開啟隨身碟 如果隨身碟本身已經感染病毒， 使用「我的電腦」去開啟隨身碟將會執行AUTORUN開啟惡意程式導致PC中毒， 而使用「檔案總管」利用左側的樹狀資料夾開啟隨身碟將不會執行AUTORUN。

  3.關閉PC自動執行（autorun）的指令 a.使用登錄檔更改MountPoints2。

b.停用ShellHardwareDetection 。

上列更改方法請參考中研院「小心病毒就在USB中」。

  4.避免交互感染 我在事務所最常遇到的情況是， 明明某台公用電腦我都有徹底殺毒，但為什麼不久後又中毒了， 後來發現最有可能是同事把家裡的毒帶來事務所了， 或著某一同事的電腦已經中毒，因為公用隨身碟或他自己隨身碟的使用而將病毒轉移到公用電腦 殺幾次毒後也懶得再殺了， 所以公用電腦往往是病毒的溫床， 用公用電腦使用隨身碟回存自己的電腦時， 照上列建議1.2.3.應該可以避免被感染的機會。

  先用EFix把自己的電腦掃一掃吧！尋琴紀/Xuite日誌/回應(6)/引用(0)onenightin學甲分局|日誌首頁|南瀛鐵馬元氣站-歸仁分局......上一篇onenightin學甲分局下一篇南瀛鐵馬元氣站-歸仁分局...回應 我的相簿 全部展開|全部收合 關鍵字 加我為好友我不求自己有多麼高深的知識，只希望自己有足夠的智慧去看待人生百態.....我不會唸經頌佛，我只知道，外來的一切事物都只是自己內心接受或拒絕的選擇而已....自己啊自己，當自己的主人，發自內心的去感受人生中的喜怒哀樂，這樣的人生才有樂趣.....日誌相簿影音