RT
前几天在学校机房被某过还原卡的自动播放病毒各样死了,写了点儿小批处理免了个疫,顺道把机子上的毒去了...
现在问题是好多所谓的优盘免疫都是在根目录下建立一个autorun.inf文件夹再在文件夹里面新建一个".."结尾的网络映射的位置.一般情况下就删不掉这个文件夹了.当然,禁用了网络位置的话也就相当于只是弄了个普通的非空的文件夹.
我们知道新建autorun.inf文件夹之后,由于目录非空,一般病毒想要rd掉autorun.inf文件夹的话,另外再新建autorun.inf文件就会直接失败.因为rd autorun.inf会出错.
但是如果,病毒有先del此文件夹内的文件再rd autorun.inf就会成功.于是,我就弄了这么一句批处理:
md \AutoRun.inf\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\1\
attrib +s +h autorun.inf
那么如果是这种情况的话,如果最后那个根目录非空(其实非不非空没什么太大意义了),如果病毒再搞个文件夹删除的函数递归或者直接在高版本dos那样来个deltree也会轻松搞定....
不过,比较好奇,因为我到现在都没发现过有一个自动播放病毒会去用这些方式删除autorun.inf文件夹的....而且我要是没记错,就算是1..这种文件夹,rd其实也可以把它给搞掉啊?
写到现在怎么感觉像是在教育那些自动播放病毒编写者要把病毒编的更完美一些呢....
PS:机房里面那个病毒也傻,虽然是有常驻内存的进程不断地检查根目录下自身文件是否被删除,但是一旦Ctrl+C+V预先建好了的autorun.inf和病毒母体,立马就解决掉了. 哦,结果掉以后倒是连磁盘打不开了都.
再看根目录里面有三个带毒的,一个autuorun.inf,一个svt**.exe(不记得全名了)还有一autorun.vbs.忘了打开哪个了,不记得是inf还是vbs,里面有一句shell"%systemroot%/explorer.exe",于是,果断结束explorer,再重新运行explorer,完事儿了就.
真的像那什么说的似的自熊猫拜佛之后已经好久没有出现可以真正考验杀毒软件能力的病毒出现了?
|
发表于 2011-6-24 23:40:34
mcafee企业版无视这类病毒
