感染方式:
該台PC(家用或工作用)本身已經中間諜程式或木馬程式,當插入隨身碟Copy檔案及MP3會啟動驅動程式時就順便一起植入該隨身碟的隱藏區。再依此法感染多數PC。
[節錄資安人雜誌,艾克索夫實驗室繪製]
症狀 :
插入隨身碟後,點選磁碟機防毒軟體會發現 C:\windows\system32\driveinfo.exe 是木馬程式 Trojan-Dropper.Win32.Delf.wj
事實上在 c:\windows\system32 裡頭根本找不到 driveinfo.exe,而是躲在隨身碟的 Recycled 目錄下,那裡有三個隱藏檔案,分別是:
driveinfo.exe、driveinfo.sdc、voinfo.dll
另外在隨身碟的根目錄會新增一個隱藏檔案 autorun.inf,內容是:
[AutoRun]
Open=.\Recycled\Driveinfo.exe
Shell\Open\Command=.\Recycled\Driveinfo.exe
上面這幾個檔案不管怎麼砍都砍不掉,似乎是由 inetsrv.exe 這個 Process 守護。@@
[節錄資安人雜誌,艾克索夫實驗室繪製]
解決方案:
1.工作管理員中停止【inetsrv.exe 】的執行程序。
2.在Registry中刪除【inetsrv.exe 】字串HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
inetsrv = "%System%\inetsrv.exe"
3.在檔案總管中尤其是drive資料夾尋找及刪除 Driveinfo.sdc、voinfo.dll、autorun.inf
相關連結:
你的隨身碟中毒了嗎?
如何預防隨身碟中毒
防毒廠商的解決方案:
Trojan-Dropper.Win32.Delf.wj(卡巴斯基)
http://www.viruslist.com/en/viruses/encyclopedia?virusid=121808
WORM_VB.YQ(趨勢科技) http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_VB.YQ
