2008电脑报第11期U盘装系统文章的下载软件被杀毒软件报毒。查了下,具体报的应该是ujihe.rar/u盘装系统/软件/其他u盘主控芯片使用软件/chipsbank_cmb2080_v4.0.rar/修复工具/auto.iso/下的autosvr.exe文件。
到网上查了下文件信息,又把样本传到在线查毒网站,绝大多数报病毒。
继续搜索,发现有说是U盘芯片中的固有文件,是厂商写入的,因为很多反映新盘就有此文件,参考一个:http://coolman99.blog.163.com/blog/static/2424782720071111528384/ 这里写得就是厂商的文件。还有一篇:http://hi.baidu.com/lixingan/blog/item/ec96d33632539edea2cc2bc4.html (这是说去光盘盘符的)
根据测试,autosvr.exe激活后具体的动作是加入注册表启动项,并在windows目录下释放一个文件:windrives.exe(注意这个文件名曾被报过是病毒文件,不过病毒文件所在位置是在c:\windows\system32下的,而不是上面说的c:\windows下),这个文件会在内存中保护其启动项(确实也象是病毒行为),但在网络活动方面没有发现有什么网络连接。
因此怀疑确实是厂商的文件,用于产生自动运行,所以有的U盘会有光盘盘符。那篇电脑报文章中说的就是在闪存中建立虚拟光盘。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/103.html
