原始碼下載(研究用XD)
http://d.pr/f/cz2J
virustotal
原始vbs檔,可以給各位練個不到20行的小程式w
http://d.pr/f/Gfi5
virustotal
卡巴陣亡www
應該可以貼吧好歹也害了學姊的報告啊(震怒),歡迎共襄盛舉一同交流XDD。副檔名應該為 .vbs,為防止各位手賤點到已修改。
這隻病毒會將隨身碟根目錄下檔案隱藏,新增同名捷徑執行上述vbs腳本,同時開啟原始檔案,企圖蒙混過關不過看圖示就知道是捷徑啦應該寫更好一些(誤)。(詳見install副程式)
效果頂多讓電腦變得慢些,看起來是不會刪檔案造成系統崩潰(應該啦我只看懂七成QQ),會上傳使用者名稱、電腦名稱,甚至還有個自我移除功能,算是挺佛的,可以遠端為電腦移除,只不過目前server好像掛惹,比較可愛的是透過 USB 傳播,令人想起數年前的類似的病毒( 也會隱藏根目錄下資料夾,替換成資料夾圖示的病毒exe檔,只不過一般的"顯示隱藏檔案"一開就看到了)
手動移除法大概就是把startup(開機自動啟動)資料夾裡的腳本移除、登錄編輯程式機碼
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\
下面的wscript.exe //B
再把 HKEY_LOCAL_MACHINE\software\ 下奇怪的鍵值幹掉(這個有點不確定)。虛擬機器被我搞掉了等我重新裝完XP在貼圖QAQ
然後清除隨身碟根目錄的文件檔案屬性(感謝Talk版大大)
attrib -s -r -h * /S /D大概這樣。修改者感覺像是歪果人的中二 ID,大概是對影印店老闆差勁態度的報復,又或著是校內FIFI的逆襲呢?就讓我們繼續看下去。
感覺像是惡意植入的,因為影印店電腦印象中都沒連網,此腳本似乎也沒寫autorun。
是到影印店發現病毒?
回覆刪除感覺像是惡作劇腳本而已,據說最近各大校園都有流傳
刪除