从同事U盘上发现的四个文件:“recycle.exe”、“ .exe”、“ .exe”、“ .exe”,没有看到autorun.inf,可能有但已被删除了,以上四个文件,全部都是文件夹样式的图标,如果不显示扩展名,可能会误认为是文件夹,诱使点击,特别是recycle.exe,很可能被认为是回收站,其余三个以空格为文件名的特殊exe文件可能会给直接删除造成困难,不过用winrar压缩中的“压缩后删除源文件”功能可以删除。另外,这几个文件每个都有1M多大小,体积一样。
运行了一下,recycle.exe,发现它会在c:\windows\system32下生成4个文件夹D42CF5、7F260B、7124DD、D42CF5(文件夹名可能在不同电脑上会有不同),同时在上述某个文件夹与系统临时文件夹temp中产生一堆E语言fnr、fne的支持库文件(SPEC.FNE、 、CNVPE.FNE、DP1.FNE、SHELL.FNE、EAPI.FNE、INTERNET.FNE、HTMLVIEW.FNE、KRNLN.FNR、REGEX.FNR等),并生成一个exe文件,文件名为随机的数字与字母组合(本例中生成40D034.EXE),将其加入启动文件夹以便每次启动时都运行它,作用也是生成同样的一堆的fnr、fne的函数支持库文件。
可能是由于我的电脑上装的微点阻止了那几个空格文件名木马进一步的运行,所以没有看到生成更多的危害性的文件,从网上(金山、卡巴斯基的网站上相关的病毒分析)的信息看,可能会生成更多有危害的文件,不光以上的E语言的库文件,并且会产生autorun.,inf,利用U盘传播等,甚至有的会感染电脑上的可执行文件。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/281.html
