近期出現會刪除全磁碟檔案的病毒

z0933156310

目前特性我還不清楚，我必須要測試。(會刪全磁碟的我看我測試系統準備要重灌..0rz)

不過目前已知

1.會在windows資料夾產生,.exe檔案
  EX:c:\windows\,.exe

2.會在各磁碟根目錄產生,.exe和autorun.inf檔案
  利用隨身碟傳撥...

  EX: 隨身碟代號F:
  就寫入F:\autorun.inf
        F:\,.exe
  autorun.inf的內容為
  open=,.exe

3.會在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  寫入下列登錄值，之後隨開機啟動

  "HUI"="c:\windows\,.exe"

4.會於不知道什麼情形下重開機後刪除某一磁碟內的所有檔案

清除方式：

1.先將,.exe這個程序停止，或者進入安全模式。
2.刪除windows資料夾內的,.exe檔案 （建議使用icesword)
3.將各磁碟內的autorun.inf檔案以及,.exe刪除
4.重新檢查windows資料夾內有沒有產生,.exe
5.沒有的話就ok

喔對了補充一下：
這個目前在virustotal測試是沒有一家抓的到的，頂多報殼
應該只是使用正常的批次程序吧我猜...

解毒方式很簡單，
1. 刪除每一槽的 autorun.inf 與 ,.exe
2. 刪除桌面上的 1.lnk (是數字 1)
3. 然後恢復機碼(registry)

,.exe 機碼修改部分的源碼如下：

RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run",
         "HUI", "REG_SZ", "C:\windows\,.exe")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
          Explorer\Advanced", "HideFileExt", "REG_DWORD", "000000001")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
          Explorer\Advanced", "ShowSuperHidden", "REG_DWORD", "000000000")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
          Explorer\Advanced", "HideFileExt", "REG_DWORD", "000000001")
RegWrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
          Explorer\Advanced", "ShowSuperHidden", "REG_DWORD", "000000000")