MS Windows 利用 wscript 啟動的隨身碟病毒之解法
若在 Windows 環境下,隨身碟突然出現 _ 的資料夾,並且資料全隱藏,只發現 . lnk 或是 USB DISK.lnk (ps. ${Device_name} ) 之捷徑檔,此時使用者要注意已經中了利用 VB scripts 做成的隨身碟病毒了。 主機中毒狀態: 利用 taskmgr.exe 開啟工作管理員,會發現有兩個 wscript.exe執行中, 主要是執行 C:\>%USERPROFILE%\AppData\Roaming\WindowsServices (就是User個人資料夾內的隱藏資料夾 Roaming) 內的 helper.vbs installer.vbs 此感染路徑與一般感染 Local 隱藏資料夾不同。 故先從 taskmgr.exe 管理內,先停止所有 wscript.exe的執行,接著試著 刪除 上述資料夾內的 helper.vbs 與 installer.vbs。 再使用 msconfig.exe 介面,來觀察開機 啟動 載入的程式,可以看到會有 helper.vbs ,在開機時就被載入,路徑位置為 C:\>%USERPROFILE%\AppData\Roaming\WindowsServices 先取消勾選,來停止開機載入執行之行為。 重開機後 ,再利用 taskmgr.exe 檢測是否有wscript.exe執行。 隨身碟已中毒之處理方面: 利用其他Linux live cd 或是 window PE,可以發現隨身碟內有 .lnk 等檔案,並且包含 WindowsServices 資料夾,資料夾內有 helper.vbs installer.vbs movemenoreg.vbs WindowsServices.exe # 研究 .vbs 裡面的code,還有這個執行檔,但可能被 AntiVirus 的 App 清除。 (圖一) 並且使用者原有的資料與資料夾,皆會被移至 _ 資料夾,並隱藏。(圖二) (圖一) (圖二) 1. 簡單分析結果,似乎會接觸到 一個網址 xmr.crypto-pool.fr:3333 對應的是 163-172-226-114.rev.p...