有一位朋友,他把移动硬盘接到电脑上使用,上午还正常,但下午用时则有数据保护的出错提示信息。
该朋友电脑使用的是Win XP SP2,因未联网,所以不能从网上下载 HijackThis 等软件来分析。
打任务管理器,发现一个名为wincfgs.exe的进程,图标为一个黄色问号,十分可疑,终止了。
打开命令提示符窗口搜索文件:
/------------ C:/Documents and Settings/user>attrib /wincfgs*.* /s SHR C:/Windows/system32/wincfgs.exe ------------/
文件在C:/Windows/system32中,具有系统、隐藏、只读属性,用WinRAR打包备份后删除。
打开注册表编辑器,搜索包含“wincfgs”的项目,发现
/------------ [HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows] "load"="C://windows//system32//wincfgs.exe" ------------/
再检查移动硬盘,在根目录下发现autorun.inf。文件内容如下:
/---------- [autorun] open=./RECYCLER/RECYCLER/autorun.exeshell/1=Open shell/1/Command=./RECYCLER/RECYCLER/autorun.exe shell/2/=Browser shell/2/Command=./RECYCLER/RECYCLER/autorun.exeshellexecute=./RECYCLER/RECYCLER/autorun.exe ----------/
居然有个文件autorun.exe藏在回收站里。
用fc命令比较,autorun.exe 与 前面发现的wincfgs.exe完全相同。
瑞星报为 Worm.UsbSpy.a。
STATUS: FINISHED
Complete scanning result of "wincfgs.exe", received in VirusTotal at 09.12.2006, 06:40:13 (CET).
