2013年8月17日

再戰永恆真愛 USB Virus forever.exe & Romantic.exe

前幾天用了公司的電腦讀取了隨身碟,回到家中用 Mac 一看,哇勒,這不是 forever.exe 嗎?在去年二月時曾經讓公司幾乎每台電腦都中毒的玩意,怎麼這回又出現了呢?我記得之後電腦幾乎重灌處理,而且也把有毒的隨身碟給收好不用,怎麼會…等等?

同事:「喔,前幾天要傳檔案沒有東西裝,只好把那個有病毒的隨身碟拿出來用,沒想到又中毒了(抱怨)」
我:「⋯」

當我在網路上搜尋時注意到幾件事情


  • 號稱解毒軟體的程式,本身可能是更大的垃圾程式
  • Google 排行第四名的文章就是我的…,但我無解啊!
「不過既然文章都寫了,我也應該負點責任繼續研究下去,反正我也沒什麼事情做(噓,別張揚)。」

當自己遇到問題,卻只能自助時還挺悲哀的XD
▲ 遇到問題時卻只能自助,此時是又驕傲又悲哀 XD

病毒出現的癥狀

  • 最明顯的就是 USB 的 autorun.inf 被抽換,內容為自動播放 forever.exe 去感染電腦
  • 為了避免你察覺,它會還變更隱藏檔案設定,讓你就算設定成顯示隱藏資料依然看不見 autorun.inf
  • 電腦被感染之後,主要會在 Windows 資料夾(%WINDIR%)自我複製
    • %WINDIR%\system.exe
    • %WINDIR%\userinit.exe
  • 為了避免使用者利用線上掃毒,它會順便抽換 %SYSDIR%\drivers\etc\hosts 檔案,讓你無法連結掃毒網站
  • 其他的資訊留給 AVIRA 解釋什麼是 TR/Spy.69632.390 病毒


我怎麼知道隨身碟中毒了

  • 拿到一台 Mac 或 Linux 電腦檢查
  • 關閉電腦自動播放功能,使用命令提示字元(cmd)用指令檢查有沒有 autorun.inf。參見高登所寫的《USB 隨身碟讀不到,怎麼辦?

解決辦法

和去年不一樣的一點,我沒有使用中研院開發的 Wow! USB Protector ,其中一個理由能是它的資料庫更新日期一直沒有再推進,一直停留在 2011年9月。取而代之的是一款名叫 USB Virus Scan 的軟體,軟體玩家曾有介紹過,可惜這套是付費軟體,在 Limited Version 下只能進行掃描不能清除病毒。

準備軟體

  • KavoKiller(清除 autorun.inf 使用,對 forever.exe 無效)
  • USB Virus Scan(試用版只能拿來做偵測,完整版可以掃毒)
  • AntiVirClamAV Porable(掃毒軟體,以上兩個),不過根據 virscan.org 的報告,AntiVirClamAV Porable 對於 system.exe、userinit.exe、forever.exe、Romantic.exe 都可偵測;ClamAV 對 userinit.exe 就沒辦法。

Step by Step

  1. 使用 KavoKiller 刪除 inf 檔,恢復看不見隱藏檔案的設定
  2. 安裝 USB Virus Scan 進行掃描。完整版可在此階段找出 system.exe、userinit.exe 和隨身碟第一層資料夾的 autorun.inf 與 forever.exe
  3. USB Virus Scan 的 FixSystem 修復被更改的系統設定
  4. 使用 AntiVir 掃描病毒,或使用攜帶版的 ClamAV Porable 來掃描都行
  5. 前一步驟完成後,病毒應該都被掃光,由 USB Virus Scan 負責長駐,未來插入 USB 隨身碟時都會先幫忙掃毒,避免再次中毒。



感想


話說為什麼安裝的時候要用 ClamAV Portable 呢?主要的原因還是 AntiVir 的安裝程式容量太大了,如果每一台要掃毒的電腦都要安裝一個 AntiVir 實在不方便,因此改用可以裝在隨身碟內自由複製的 ClamAV Portable 要方便多了。

USB Virus Scan是本次「實驗」中發現最好用的軟體,掃描時間不過 3 分鐘,又能有效地掃出病毒跟阻止二次感染。不過它沒辦法很乾淨地把所有 USB 病毒清走,一些躲在深層資料夾的病毒就可能被忽略,最後還是得靠防毒軟體幫忙。


額外加映:《USB 病毒造成 Explorer.exe 無法正常開機

沒有留言: