记一次U盘中病毒遭遇

mengkun 1,441 9

哇!自七年前学会上网以来,第一次遇到病毒!激动……

起因

事情是这样的:博主刚去学校的打印室打印资料,回来把 U 盘插到自己的电脑上一看,居然 U 盘里所有的文件夹都变成了 .exe 可执行文件!
记一次U盘中病毒遭遇

刚看到这种情况其实我是懵逼的:完了,我是不是遇到加密敲诈病毒了?我 U 盘里的资料怎么办?卧槽我这好不容易做的启动盘又要格式化重新做了?

处理过程

冷静下来一看,发现了破绽!

首先是这几个“文件夹”大小都是 75.6kb
记一次U盘中病毒遭遇

其次是 U 盘的已用空间与之前相比并没有多大出入
记一次U盘中病毒遭遇

这就说明 U 盘里之前的文件其实都还在,只是被暂时隐藏了!

在文件管理器里勾选上“隐藏的项目”
记一次U盘中病毒遭遇

果然,之前 U 盘里的文件妥妥的都在这呢。
记一次U盘中病毒遭遇

病毒分析

用 MD5 效验工具进行检测,发现之前在文件夹里的四个 exe 文件的 MD5 值是完全相同的,这就说明它们其实是同一个病毒。抓取其中的一个,上传到腾讯哈勃分析系统分析,从分析结果中得知其主要行为有三:

  • 创建开机启动
  • 劫持windows文件管理器
  • 替换QQ重要组件
  • 在桌面创建一大堆的网址快捷方式

有了分析报告,就大概地知道这个病毒有什么操作了。

按耐不住好奇之心,我又在隔离沙箱里运行了这个病毒,把它释放的一些文件都收集了出来。

其中释放的快捷方式里的网址已经无法打开。直接百度这个网址,相关的提问都是几年前的,说明这个病毒真的是有一定的历史了……
记一次U盘中病毒遭遇

既然网址都打不开了,这个病毒也失去了它应有的作用。那就玩到这里打止吧。

附件

病毒样本(解压密码 123)

病毒主文件哈勃分析报告
https://habo.qq.com/file/showdetail?md5=c0a5cf24d2a461fbbef12271cf7a57ed

病毒释放的 TaskTray.dll 哈勃分析报告
https://habo.qq.com/file/showdetail?md5=25544c18a0ffaf5af296250e7d1292f4

打赏
发表评论
表情 图片 链接

  1. 惜空
    惜空 Lv 1

    额,上次我也中了这个,原来是病毒。。。

  2. 瀚宇
    瀚宇 Lv 2

    我是5年前才开始上网的,以前只在学校微机室里熟悉了一下怎样开关机 [偷笑]

  3. 瀚宇
    瀚宇 Lv 2

    我的电脑上次中毒就是这个软件所致 http://m.uzzf.com/u/161583

    • mengkun
      mengkun 站长

      @瀚宇我的电脑还从来没中过毒 [wb_二哈] 一般不是大厂出品的软件我都在 360 的隔离沙箱里运行,妥妥的 #(笑眼)

  4. 266277
    266277 Lv 3

    通过U盘传播,但是xp系统exe的图标(打开后是库)容易混淆但是win7以上就看出来了 我学校的文件夹选项被隐藏 组策略也改不回来 但在吾爱找到一份注册表 打开后可以显示(建议在安全模式下) 还有杀完一遍毒 查看图片

    • mengkun
      mengkun 站长

      @266277其实只要开了杀毒软件,这类病毒根本就无法施展神通了。我之前把U盘往电脑上一插,杀毒软件就提示 U 盘文件被篡改,是否修复……我是把杀毒软件退掉先放了这病毒一条生路再开始研究的 [呲牙]

  5. 266277
    266277 Lv 3

    老病毒了 文件夹病毒 隐藏的而已 我学校还有这种没网电脑有这病毒 不过被我破了

  6. xsj
    xsj Lv 2

    七八年前就遇到这种病毒了 [骷髅]

    • mengkun
      mengkun 站长

      @xsj我上网的习惯比较好,所以到今天才第一次真正遇到病毒,还是蛮惊讶的 [偷笑]