contenuto dell'unità flash USB sostituito con un singolo collegamento


11

Ero confuso quando ho aperto la mia unità flash tutto quello che ho visto era una scorciatoia con il suo obiettivo come

C: \ Windows \ system32 \ rundll32.exe ~ $ WO.FAT32, _ldr @ 16 desktop.ini RET TLS ""

Puoi fare riferimento alle immagini che ho caricato di seguito. Mostra i contenuti dell'unità flash. Il prompt dei comandi mostra i contenuti nascosti. Puoi vedere lì che c'è un con un nome vuoto. Contiene il contenuto dell'unità flash. Quella directory ha anche un desktop.ini al suo interno con questi come contenuti.

[.ShellClassInfo]
IconResource=%systemroot%\system32\SHELL32.dll,7
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=7

A differenza del primo desktop.ini (che si trova nella radice dell'unità flash). Ha una sorta di contenuto binario che francamente non so come incollare qui. Quindi ho appena caricato il contenuto dell'unità flash qui . Quindi puoi vederlo da solo.

Un'altra cosa strana è che autorun.inf (che ha solo 0 byte) viene utilizzato da wuauclt.exe. Puoi fare riferimento alla seconda immagine in basso.

Qualcuno ha sperimentato anche questo? Ho già provato a riformattare e reinserire l'unità flash, ma non ho ancora avuto fortuna.

contenuto di unità flash

l'autorun è bloccato

Ho eseguito l'hashing di desktop.ini (quello binario) e l'ho cercato. Mi ha indicato questi link che sono stati pubblicati alcuni giorni fa.

http://www.mycity.rs/Ambulanta/problem-sa-memorijskom-karticom-3.html

http://www.mycity.rs/Android/memoriska-kartica_2.html

desktop.ini (binario) d80c46bac5f9df7eb83f46d3f30bf426

Ho scannerizzato desktop.ini in VirusTotal. Puoi vedere il risultato qui . McAfee-GW-Edition lo ha rilevato come Heuristic.BehavesLike.Exploit.CodeExec.C

Ho visto gli handle di wuauclt.exe in Process Explorer e ho visto che autorun.inf viene utilizzato dall'exe. È inoltre possibile notare che viene aperto un file dalla cartella temporanea.

Temp AppData \ Local \ \ mstuaespm.pif

Ecco la scansione di quel file pif da VirusTotal. Ecco una copia online del file PIF e, infine, un file casuale che è stato generato dopo aver eseguito il file PIF (ho usato sandbox).

wuauclt


È acceso e sto usando Windows. Per quanto ne so, i file nascosti in Linux (.foldername) verranno comunque mostrati in Windows. (come la cartella .Trash-0001)
kapitanluffy il


In tal caso, non verrà visualizzato in Explorer come desktop.ini: virus.exe anziché solo desktop.ini? (supponendo che desktop.ini contenga il virus)
kapitanluffy il

Se hai letto il post, l'ho già caricato e fornito il link.
Kapitanluffy,

start. \ test.txt: note.exe non ha funzionato in Windows 7, indica che non esiste alcun programma associato per eseguire l'azione richiesta. e indica un accesso negato nel prompt dei comandi
kapitanluffy

Risposte:


2

L'ho rimosso con successo già qualche giorno fa. Anche se ho appena pubblicato questo in questo momento. Ecco come ho rimosso la backdoor dal mio computer.

http://blog.piratelufi.com/2013/02/usb-flash-drive-contents-replaced-with-a-single-shortcut/

Ho appena realizzato che la domanda in sé non è un'ottima domanda. È qualcosa di più di un argomento di discussione. Grazie per la 'protezione' però.


Dannazione, quindi è un virus? Ho ottenuto questo dopo aver collegato la mia trasmissione flash a un computer del campus
Deathlock

2
Per favore, evita di fornire una risposta che è solo un link.
Quel ragazzo brasiliano il

0

Utilizzare il prompt dei comandi per copiare i file sul disco rigido interno (assicurarsi di disporre di un software antivirus installato e completamente aggiornato prima di eseguire questa operazione), quindi eseguire la scansione dei file prima di formattare l'unità, quindi reinserire i file sull'unità.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.