1)病毒复制以下文件到可移动磁盘autorun.inf;..;并新建一文件夹名为..;在此文件夹下有文件help.exe,另有名为1.dat,2.dat,3.dat...的文件,疑似为U盘小偷的代码改装
2) autorun.inf文件内容为
[AutoRun]
open="...\help.exe o_disk"
shell\open=打开(&O)
shell\open\Command="...\help.exe o_disk"
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command="...\help.exe o_disk"
shellexecute="...\help.exe o_disk"
shell\Auto\command="...\help.exe o_disk"
3)注意,这个病毒的NB之处就在在冰刃和darkspy等一系列安全工具面前都看不见病毒体,只有在其他系统(如MP3的资源管理器)下面才能看到这些病毒文件!
4)U盘免疫失效问题,比较好理解
5)手头没有linux系统,无法上传病毒样本。
测试报告:
上午朋友的U盘出此问题,简单看了一下就让他格式化了,后来顺便看了以下。
解释一下原因:
所谓的冰刃下看不见实在搞笑,原来是冰刃出了一个SB的漏洞
在FAT或者FAT32格式下面的分区(U盘都是这种格式),建立一个名字是...\的文件夹
冰刃就看不见了
病毒样本被朋友格式化掉了,如果她再感染上一定上传上来
