USB 闪存驱动器内容被单个快捷方式替换

USB 闪存驱动器内容被单个快捷方式替换

当我打开闪存驱动器时,我感到很困惑,我只看到一个快捷方式,其目标是

C:\Windows\system32\rundll32.exe ~$WO.FAT32,_ldr@16 desk.ini RET TLS " "

您可以参考我下面上传的图片。它显示了闪存驱动器的内容。命令提示符显示隐藏的内容。您可以在那里看到一个名称为空白的。它包含闪存驱动器的内容。该目录中还有一个desktop.ini,其中包含这些内容。

[.ShellClassInfo]
IconResource=%systemroot%\system32\SHELL32.dll,7
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=7

与第一个desktop.ini(位于闪存驱动器的根目录)不同。它有一些二进制内容,坦率地说,我不知道如何粘贴到这里。所以我只是上传了闪存驱动器的内容这里。所以你可以自己查看。

另一个奇怪的事情是 autorun.inf(只有 0 字节)被 wuauclt.exe 使用。您可以参考下面的第二张图片。

有人也遇到过这种情况吗?我已经尝试过重新格式化并重新插入闪存驱动器,但仍然没有成功。

闪存驱动器的内容

自动运行已锁定

我对desktop.ini(类似二进制文件)进行了哈希处理并进行了搜索。它向我指出了几天前刚发布的这些链接。

http://www.mycity.rs/Ambulanta/problem-sa-memorijskom-karticom-3.html

http://www.mycity.rs/Android/memoriska-kartica_2.html

Desktop.ini (二进制) d80c46bac5f9df7eb83f46d3f30bf426

我在 VirusTotal 中扫描了desktop.ini。您可能会看到结果这里。McAfee-GW-Edition 将其检测为启发式.行为类似.漏洞利用.CodeExec.C

我在进程资源管理器中查看了 wuauclt.exe 的句柄,发现该 exe 正在使用 autorun.inf。您可能还会注意到,临时文件夹中的一个文件已打开。

应用程序数据\本地\Temp\mstuaespm.pif

这里是来自 VirusTotal 的 pif 文件的扫描。这里是 PIF 文件的在线副本,最后是随机文件这是我运行 PIF 文件后生成的(我使用了沙盒)。

伍奥克特

答案1

几天前我已经成功删除了它。虽然我刚刚发布了这个。以下是我从电脑中删除后门的方法。

http://blog.piratelufi.com/2013/02/usb-flash-drive-contents-replaced-with-a-single-shortcut/

刚刚意识到这个问题本身不是一个很好的问题。它更像是一个讨论话题。不过还是感谢你的“保护”。

答案2

使用命令提示符将文件复制到内部硬盘(执行此操作之前,请确保已安装病毒软件并完全更新),然后在格式化驱动器之前扫描文件,然后将文件放回驱动器。

相关内容