档名为syssetup.exe，位在各磁碟根目录下以随身碟途径进行传播。 这个似乎去年就有了。 只是最近突然有碰到而已 并且有在不少地方有看到几例这种情形所以po出来请各位自己注意一下 我有拿到样本但我还没测试 ( 感谢苦主 rainfrog 提供样本 m(_o_)m ) 我看了一下他里面写的部分字串 ( 用计事本就看的到 ) 感染途径大概如下 ( 有些是猜测的 ) 1.随身碟 autorun.inf 所以他可以归类到随身碟病毒类，常使用随身碟的要小心了 另外他有一个动作会将在各磁碟根目录的autorun.inf资料夹删除 如果真的是的话那建立资料夹的方式是无效的 2.共享资料夹攻击 这一段我不清楚，似乎是会找$IPC并尝试写入syssetup.exe和autorun.inf的东西 至於会造成什麽样子的伤害 1. format x: /x/y/b x:代表你系统中所有硬碟 ex: d: e: format 就是 格式化你的硬碟，不懂的人你就当作是让你硬碟重灌吧。 只不过不是灌系统碟而已... 2. del *.mp3 *.gho *.doc *.xls *.wmv *...... 删除你所有硬碟里面的 mp3档 gho档 doc档 xls档 wmv档 一样是很机车的毒... 至於写入登录值的位置则因为没测试目前不知道 不过目前知道的一个是 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon shell=explorer.exe syssetup.exe 原本的值应该是 shell=exlorer.exe 病毒产生的档案和执行方式则不明，我现在家里出了点事没办法去测这些东西 还希望有空闲的人能够帮忙测试一下该行为并且看有没有能够有对应的删除方式 至於EFix 目前的版本 (4.83) 能不能删？ 我不知道....我没测试 如果说他会自己一直执行常驻的话那EF应该是删的掉，用CRC32比对法的关系 但不是的话就不一定了... -- 人间世称做缘 相连的红线不停缠绕 脆弱而惹人悲怜的彼岸花 愤怒、伤感、终日以泪洗面 在凌晨零时的夜幕中 为你消除无法平息的怨恨 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.132.171.86 ※ 编辑: junorn 来自: 220.132.171.86 (09/18 22:07) ※ 编辑: junorn 来自: 220.132.171.86 (09/18 22:07) ※ 编辑: junorn 来自: 220.132.171.86 (09/18 22:08) ※ 编辑: junorn 来自: 220.132.171.86 (09/18 22:10) ※ 编辑: junorn 来自: 220.132.171.86 (09/18 22:14) ※ 编辑: junorn 来自: 220.132.171.86 (09/18 22:16) ※ 编辑: junorn 来自: 220.132.171.86 (09/18 22:17) ※ newdark:转录至看板 NDHU_MSE94 09/19 12:03