auto.exe这个病毒是通过autorun.inf这个文件来传播,也就是大家所熟悉的“U盘寄生虫”病毒。这个病毒的运行能够导致计算机无法显示隐藏文件,手动无法修改注册表内容,所以必须借用一些工具来进行操作。本次操作使用的病毒分析工具是冰刃(IceSword)。用户可以在百度搜索这个工具并下载使用。下面以kv2008为例详细说下。
打开冰刃之后点一下下面的文件,然后点击其中的一个盘符,以我们的实例就点C盘。
如图可以看到D盘目录下有auto.exe,实际上应该还有一个autorun.inf文件,这是因为开着监控已经把autorun.inf文件删除,所以在这里不显示.
右键点auto.exe,然后点复制,会弹出对话框,在里面输入名字。我们在实例里面输入auto.exe,把它弄到桌面上了,并且不是隐藏的文件。
打开杀毒软件主界面(如果是简洁操作台窗口,那么就点一下最小化按钮,即右上角最左边的按钮)。找到工具-》未知病毒检测-》编辑样本库
添加样本有两个方法: 一是直接把文件拉到样本库里面,二是点新建样本去找样本添加。
之后点工具-》未知病毒检测-》扫描样本库,这样可以扫描出与样本一样的文件,即是与auto.exe一样的文件。
这里需要注意的是:不光扫描出各个盘符下的auto.exe,还能扫描出一个C:\WINDOWS\system32下的八位随机字符的文件,最近发现新变种的auto.exe释放的都是这样的文件,如果只手动删除auto.exe的话,隔一会儿auto.exe还是会被释放出来(不做任何操作也会出来)。
点杀毒就会把所有扫描出来的样本删除(注:这个操作是没有备份的,所以最好之前就把auto.exe提取出来作为上报之用)。
之后强烈建议大家用一下工具里面的安全助手/流氓软件清除功能清理一下恶意软件。
最后进入windows和system32文件夹,把所有创建日期和修改日期为最近的exe和dll文件提取出来,看看杀毒软件能否杀到,不能杀到的文件就压缩发到
virus@jiangmin.com进行上报。(最后用SRENG2.5点启动项目-》服务-》WIN32服务应用程序-》隐藏已认证的微软项目-》找到那个八位随机字符的服务,把它删除。)
