想当年在大学的时候,很多同学们的U盘都被一个叫做autorun.inf的木马病毒困扰了很久,以至于后来网上专门出了专杀工具,各大安全公司也跟进对这个木马病毒做了查杀。这么多年过去了,一度以为U盘木马病毒基本绝迹了,但是我错了~~~
昨天媳妇因为工作的需要,插了U盘在我的电脑上工作。中途也没出现异常,等我插入自己的U盘准备工作的时候,突然发现电脑出现了情况:
问题症状
1、U盘的指示灯一直在闪烁,显示有数据在读取、写入。可是我并没有做相关的操作。
2、电脑比往常感觉异常的慢,但是我没有运行什么特别的程序。
3、U盘文件夹被隐藏了,出现了一个同样名字但是scr结尾的文件,这些非常可疑。
4、出现了.exe结尾的文件夹,这个也非常可疑。
如下图
MOONLIGHT木马病毒简介
在网上搜索了一番,只在一个叫做Trend Micro的网站(应该是一个国外的杀毒软件公司)的找到了比较详细的资料。这是一个名为WORM_MOONLIGHT.B的蠕虫木马病。(具体地址可以参考这里:https://www.trendmicro.com/vinfo/us/threat-encyclopedia/archive/malware/worm_moonlight.b)
具体危害细节
被感染的U盘,会把U盘文件夹隐藏,然后生成一个同样名字的程序,以scr或者exe结尾,并伪装成文件夹图标。该只要插在健康的电脑上,双击运行了scr结尾的文件夹,即会触发木马程序,感染电脑。随后所有插入电脑的U盘都会被感染。
该木马程序通过用户双击src或者exe文件启动,会自动运行一连串的操作,开放电脑系统后门,盗取用户的隐私、密码等信息,而且都是在后台运行,十分的隐蔽。
关于这个蠕虫木马病毒的一些具体细节:
1、会让感染的电脑无法设置系统启动程序、无法查看隐藏文件、修改屏幕保护程序。
2、会在系统盘里面生成一大堆的文件,比较有特征性的有下面的这些:
对比一下永恒君的电脑,很不幸都中招了
moonlighttxt文件
3、会自动修改注册表里面的好多内容,包括自动启动程序等等,包括上面提到的「无法设置系统启动程序、无法查看隐藏文件、修改屏幕保护程序」就是通过修改注册表实现的。
修改注册表
处理办法
根据自己的测试和网友的经验分享,大部分的杀毒软件都可以处理这个木马病毒,如360安全卫士、金山毒霸、微软的Security Essential等,都是比较简单的操作。需要提醒的是:
1、要把软件升级到最新版本,包括病毒库。
2、注意要先把电脑上的清理干净,再来清理U盘。
3、电脑上要至少要扫描内存、C盘这两个地方。
杀完病毒之后,还有一件事,把之前被隐藏的文件夹要找出来。具体这样操作:
在U盘内新建一个txt文件,打开后输入「attrib /s /d -a -s -h -r」。保存为bat文件,「右键单击 - 打开」,稍等一会,隐藏文件都出来了。
小结一下:U盘传播的木马病毒,绝大部分都是要通过用户双击点击才能触发启动。因而建议大家在使用U盘的时候,切记用「右键单击 - 打开」来操作打开文件夹。
在本篇文章的MOONLIGHT木马例子中,如果是「右键单击 - 打开」来操作文件夹,而不是双击,木马就不会启动,也就无法感染电脑,进而就无法感染其他的U盘和电脑。
欢迎交流!
微信公众号:永恒君的百宝箱
个人博客:www.yhjbox.com
网友评论