同事的电脑上中的这种病毒,通过U盘传播,在中毒电脑上插入U盘,就会生成autorun.inf文件(在中毒电脑的硬盘上没有发现autorun.inf),其内容如下:
[AUToRUN]
sHEll\open\cOMmand=...\RECYCLER
SHeLl\Explore\cOmmand=...\RECYCLER
shell\finD\CoMMand=...\RECYCLER
同时生成以两个点为名称的特殊文件夹(如上面的..),两个点的文件夹只能在FAT32格式的磁盘上建立且为隐藏,即使打开显示隐藏与系统文件的选项也看不到,但在命令行窗口下用dir命令却可以看到它,而且似乎只感染U盘中的EXE文件,一旦被感染的U盘中的程序被运行,就在其插入的电脑上生成病毒服务及其文件scsi4dos.sys,在临时文件夹temp中还会释放出被感染文件的原程序与tmp~logo.gif、tmp~setup.exe。卡巴斯基或可牛命名其为Trojan.Win32.Scar.thl。
清除建议方案:
1.删除以下文件:
c:\windows\system32\drivers\scsi4dos.sys
2.删除病毒服务项:
[Small Computer System Interface Driver / ScsiDrv][Stopped/Auto Start]
<C:\windows\system32\drivers\scsi4dos.sys>
发现过程:这个scsi4dos.sys服务一开始我没有能够认出来,使用SREng检查时以为是什么U盾的驱动,使用XueTr检查时却发现其带有ProcessMonitor的信息,因为我当时正用ProcessMonitor检查autorun.inf是由什么生成的,后来发现在另一台电脑上这个scsi4dos.sys在XueTr中又变成了税务软件,不知道是病毒自己变的(scsi4dos.sys有调用查看文件版本信息),还是XueTr的BUG,至少在SREng中一直都是空白的文件信息。(2010-12-10补充:今天发现scsi4dos.sys的文件版本信息中竟然是ghost的信息,看来它确实是有盗用正常软件文件信息的行为,而且是不固定的,视其感染的EXE文件而变,那个被感染的U盘中有这个GHOST.exe文件,综合上面的情况,scsi4dos.sys的文件信息也在不断变化以增加其隐蔽性)
由于其隐蔽性,在一开始没有发现scsi4dos.sys的情况下(ProcessMonitor只发现svchost.exe,而确定不了上级调用程序),直到通过开始-运行,输入N:\...\(N是U盘的盘符),进入那个两个点的文件夹,用记事本打开RECYCLER(当然不是回收站),才发现其中的scsi4dos.sys。而且里面还有一个百度空间的某网址,难道是刷流量的?而且就网络分析来看,确实是访问多个网址的迹象。
(更多信息参考:
http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=12068817&cs=CB9F2633D0AC1B2B2D3A97E46FC95523
http://www.threatexpert.com/report.aspx?md5=cd54326f52dfebc15853956792e9844e)
由于当时杀毒软件还不能识别和清除该病毒,只好先按上面的方法删除服务与文件,并建立同名的文件scsi4dos.sys阻止其重新生成(这一点在XueTr中可以做到,在“文件”中找到要删除的文件,右击-选择“删除后阻止文件再生”。然后选择强制删除,就会建立一个同名的0字节的文件)。然后删除U盘上的autorun.inf(不要通过双击进入U盘,也可以用XueTr来删除)与两个点的文件夹(删除方法,开始-运行-CMD,运行命令:rd/s/q N:\...\),最后马上重启一下,否则病毒还在内存中,在重启前插入U盘还会感染。
重启后,清理临时文件夹(剩下的残留文件),对于U盘上被感染的EXE文件不要运行,在你的杀毒软件能够识别和清除病毒修复原文件之前,如果U盘上的文件不重要,可以全部删除甚至格式化,或者只删除所有的EXE文件,如果再细一些,可以搜索U盘,找出那些修改时间与病毒生成时间一致的EXE文件,只删除它们(事实上并不是所有的EXE文件都会被感染,不知何故,仍然有少数的几个EXE文件能逃过此劫,但绝大多数EXE文件是躲不过去的),其它文件类型可以保全。
如果杀毒软件升级后可以识别和清除病毒,那就简单了,不过直到我遇上这种病毒一周后,一些杀毒软件还只是删除而不是清除病毒,那么被感染的EXE文件就不能修复,只会被杀毒软件直接删除,如金山毒霸(似乎只能认出病毒原文件。被感染的文件还认不出来)、可牛(也许卡巴斯基也是吧,可牛用的可是它的引擎),另外微点也能在一开始时识别其为未知木马,并阻止scsi4dos.sys服务生成,但微点对于被感染的文件也只有删除,没有清除修复功能(其主防机制决定的)。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/871.html
