病毒行为分析:pcMing工作室�C(u#}4g2J
S�H
~�f$`
:@,Z�x�f�K)D�H�M�r�q0
'l.V�i�Z�]�]
M0中毒的U盘中的自动运行文件autorun.inf中的内容为:pcMing工作室�^4@�\ u5H�^�\%F�j
�`�}�X�d�[�r+z5j2S0
:[
n�l�X#o0[AutoRun]pcMing工作室5]�G$@&@�Q3P
pcMing工作室!A$N�c*l8q,f'i�ZpcMing工作室1o*n Y6e�H3T�n-_�r�v
open=wscript.exe u.vbepcMing工作室�g)x#p0A�W&B'P�L�N
pcMing工作室�g�o�R"Z�q*[:x%^�k�T(~,O,s5w'M L�O0shell\open\Command=wscript.exe u.vbepcMing工作室,p"P�s�@�}�H�E�W3N
-j#i�]�]�v2z1I�p�`�f0pcMing工作室�O*e�L8F�g1y�}8W
]
shell\explore\Command=wscript.exe u.vbe
'D;f p!k.|�~0*^�r�U&B�Q0pcMing工作室�i9X:n;T�C/F
shell\find\Command=wscript.exe u.vbe
�d�P�`�D�o�w�d0pcMing工作室!e/r5w/w#a�D�l�}pcMing工作室�s�S�y;S�W�_�z
用户双击中毒的U盘后激活u.vbe脚本,导致用双击、右键菜单、资源管理器等方式无法打开U盘。
)q�t�f;G�K!T8p�q�p;W�N0G�l�s�I+p,G�`0pcMing工作室+L�F�b/V�e5~"b _5x
pcMing工作室'l�?�x7]'u�G:R
�C;\:I�y"S�F;|0pcMing工作室
\9M
`�D�i�a�r�F%E
解决办法:pcMing工作室�?7h*?-H�?�e&S�U-[
�t�`�^�a }�y�|�s�j*q�y0pcMing工作室�V;J�N8r�W+^�V
找到注册表中的以下项:pcMing工作室5u�I+\�H X.x�k
pcMing工作室�g L&q2B;e,kb$o0R&O!@7d�K�^&v&N�_0[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fe02d37c-f28e-11db-86e7-000aeb4a4655}]pcMing工作室�m:r1G�p%y�|�J�L
�I�F�q0_ q5c,n�j0
7x�p2n�K'B�D.v0删除项目下的shell{fe02d37c-f28e-11db-86e7-000aeb4a4655}。可能每个的机器上的值都不同,只要找到下面有shell的那个字符串,把项shell删除就可以打开u盘。pcMing工作室
B�M�]'t�i�a
pcMing工作室�M!x�w;X%L�j/h1h�s�?�j6v0 运行了u.bat如何处理?看看病毒作者的吧!(http://cyyisgood.googlepages.com/清理说明) pcMing工作室�]9u
]7h�[�d%^
�r8`�{"S9[3K3N�G8O0
�F9?�l�?:v�u7_0 本人觉得病毒作者的批处理中,最后创建2个目录是多余的(抑制病毒再生?)。修改如下:(把以下内容复制到记事本中,另存为Qu.cmd后运行)
�O�V6}/J�p�u+^ l0pcMing工作室�L�Q#M q�m#~1y�\+S�R�N�J!{0
�a�T3A#t�T�t4w�d0�q�U�y3o#N�Y3^�n�^0pcMing工作室�o�R�i6v�v�Y6S:h2L
@echo offpcMing工作室 ]2D
z�e9B�W�j#d
�s,U�O�B�e�U:W�o�\�U0
:S�e;? G"k�o&|0{�{�\5j0echo.正在清理...pcMing工作室7i3S�@&H�F�v4t�A;X
�j%b�e4G�]�C�o�y#~0pcMing工作室�R#a�t)P�u0y�g�`-n
setlocal ENABLEDELAYEDEXPANSION ENABLEEXTENSIONSpcMing工作室�p�f.S2~,f�Z�G
q8@�]
�C:u'r#a/b�B'p�d0pcMing工作室#b9w#B�x�f
y�F$V#z
cd /d "%systemroot%\"pcMing工作室�h
{7D S9Q7k�?�a;}
pcMing工作室�E�L�Q�X�R�U�Y�i T5x+Q0del /a /f /q "%systemdrive%\已经被反U盘病毒的“病毒”感染.txt" inf.tem uda.a u.vbe uhere-*.txt "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\u.vbe" u.bat zap.a zap.exe uda.exe ReadMe.txt s.vbe uda-解压.bat主操控.bat Anti-U盘免疫.bat U盘病毒分析.bat打开发送功能.batpcMing工作室1X�~:G f&t2K!_�l
X&P�A
|�h�g!^0pcMing工作室,u*P�\:]�Z�[�F�M3X
set /a n=0pcMing工作室4A�b�G9c�A�E:c�k�v�t
.z%r�f+W.P�h)@�s,G0pcMing工作室+i6@�A;D�t�y�U
set dl=CDEFGHIJKLMNOPQRSTUVWXYZpcMing工作室 `5Q&K0f�H;Q"R
;t�A0M'C1f0
�v%J
^:t�v�[�[�K.j�R0:spcMing工作室�j2T7p&c�|
pcMing工作室5G.z,D%m�|�m�~�?pcMing工作室�T�F7G�_�A
~�n�b
set d=!dl:~%n%,1!:pcMing工作室!g�f�t(W/@&h
pcMing工作室�s�E�t!O�Y�I�W
z�O�g�Y�E�\�B�]�y;w�T:i0if exist %d% (cd /d %d%\&del/a /f /q u.bat u.vbe !uda.a U盘病毒分析Beta3.exe autorun.inf *.sk)pcMing工作室,L�P�]�E
D�\�R:i
�{6\;W�V:E0pcMing工作室2X�s�l:v#S$w#O�z7A4F
set /a n=n+1pcMing工作室�E�a*[(S�K%b$l!Z�z
�h6y,x�M�j�k"Z8g0pcMing工作室,H�c�D�J"e's
if not %n%==24 goto spcMing工作室�X-v�w)`
Q7I�q�p
+w�b�D�Z�_!T9V�|;R0pcMing工作室.](O�[�I�{�|�d�m�x�X
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v vbe /fpcMing工作室 o�p f�n7C'M8B%v%x�Y�R
#_�q�z$G/Z�[%z�W7l�X0
�Z'H$X+j�E3R8Q�D9Z2?0echo.清理完成!建议重新启动计算机以更新设置。
�v�Q1P9@4d6C0;H�x4w(z�?�L�z+A�w)W0pcMing工作室�A0I+A/}�d O-j
echo.按任意键退出...
�U�n:|�q�P�_�{ q�D4S05s2g�L�u5Z�d g3w7B,d�A4F6h0
!z/e$n4n2{*K�]0pause>nul
�H*_�P2v$y0
