//隨手記錄,方便自己以后查閱,同時寫在CSDN,博客園,知乎,簡書
學校電腦又碰到一種木馬病毒,Driver.bat,某度和某歌都查了,也叫1kB病毒,屁話太多,沒有實質性解決問題,還是自己來。
先研究病毒具體行為:
S1 根目錄生成一個Drive.bat的Windows批處理文件,內容就是啟動S2中的一個腳本文件;
S2 生成Drive文件夾,里面有一個文件夾叫597,里面存放着一個JScript腳本文件(不是網頁的那個JavaScript,別搞混淆了),代碼太多,看不懂,沒仔細研究;
S3 U盤根目錄下所有的文件和文件夾都變成快捷方式,原來的都轉移到Drive文件夾里,相對位置和名稱都沒變化。
雖然病毒沒有較大的威脅,但每次插上U盤都要仔細地去找文件,並且用完還要去別的電腦(盡量在Liunx上,因為這個病毒只對Windows有效)把U盤里的木馬清理干凈,恢復文件和文件夾的位置,比較麻煩。(題外話:我很想錘死這個木馬制作者)
找到本體,在當前用戶應用數據文件夾內的一串小寫字母文件夾中,放圖
這個木馬本體就在
C:\Users\當前用戶名\AppData\Roaming\scfkrdh
雖然我是用火絨查出來的233333。嗯,直接暴力刪除肯定刪不動,系統會報錯有應用程序正在使用請重試。那就老規矩,進萬能的PE刪,好了,問題解決。然后寫下這個小文章,記錄一下,方便自己以后再遇到類似問題,有參考。