以歌者之名流浪　　　　　　　　　　　　　　　　　　　　　　　　　

電腦被佔好久了，自從資訊培訓後就沒得用(學姊我可不是故意不傳程式碼的囧
今天好不容易輪我用，卻發現速度超慢而且卡巴斯基一直慘叫各種奇怪的病毒訊息囧，卡巴斯基自己報了又解不掉，於是換我玩抓蟲XD
先從一直插在電腦上小隨身碟開始，免得不小心到處污染

症狀：隨身碟要用右鍵才打得開，裡有RECYCLER和autorun.inf兩個東西，卡巴斯基說是Virus.Win32.SMall.r
很明顯是隨身碟病毒，看樣子我的電腦也中標了，不能只把這兩個檔案刪掉就算。本來以為是常見的KAVO，可是找不到KAVO相關的痕跡，網路上也找不到資料，於是就當做練習把它給剖啦XDD

首先用記事本看autorun.inf
---autorun.inf內容------------------
[autorun]
open=

shell\open\Command=RECYCLER\INFO.exe
shell\open\Default=1
shell\explore\Command=RECYCLER\INFO.exe
--------------------------------
顯然真正的毒INFO.exe藏在RECYCLER資料夾裏，可是RECYCLER看起來像是資源回收筒，按兩下打開的也是資源回收筒，沒法找到INFO.exe

執行/打開cmd看看：

C:\Documents and Settings\Administrator>cd \

C:\>G:

G:\>attrib RECYCLER
A  SHR     G:\RECYCLER

由此見RECYCLER被偽裝成系統隱藏資料夾，把隱藏屬性去除：

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib RECYCLER
           G:\RECYCLER
顯示成功了，檔案總管裡RECYCLER資料夾的樣子變正常了，可是不到一秒後又變回資源回收筒，再執行attrib也顯示恢復原狀...病毒在監視著呢(抖

G:\>attrib RECYCLER
A  SHR     G:\RECYCLER

怎麼辦呢ˇ我要看的就是INFO.exe
有兩個辦法，第一個有點扯但是真的有用，就是用WinRAR建個壓縮檔，在WinRAR裡把RECYCLER整個加入壓縮檔，再把INFO.exe解壓縮出來(令人驚訝的很有用，哈
不過看到DOS就想順便練習下命令：
以下這行命令的意思是不間斷的重複執行attrib -a -s -h -r RECYCLER解除偽裝，當然病毒也會再偽裝，然後趁它跟病毒鷸蚌相爭的時候趁機去檔案總管把RECYCLER雙擊打開XD

G:\>for /L %a in (1,1,100) do attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER

G:\>attrib -a -s -h -r RECYCLER
^C

得手後切回CMD用Ctrl+C終止，沒必要真的跑到一百遍。

看看RECYCLER裡到底裝啥-是INFO.exe和desktop.inf
用記事本開來看看：desktop.inf就是把資料夾搞成一臉垃圾桶樣的罪魁禍首ˇ

--------desktop.ini內容------
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
-----------------------------

接下來是INFO.exe，這回不能用記事本了
先拿查殼工具PEiD v0.94檢查有沒有加殼
(PEiD v0.94繁中版在這可以載到
http://tw.myblog.yahoo.com/sodown5805/article?mid=2166&prev=2174&next=2129&l=f&fid=44&sc=1)

 
是VC++編寫的，沒有殼，這樣就可以直接用Ollydbg反編譯
(Ollydbg我用的是v1.10的某個漢化版 載點 http://www.badongo.com/cn/file/4481899)
反編譯後用其中一個插件把病毒運行中用到的UNICODE字串挑出來看
 

  
recycler、info.exe、desktop.ini、autorun.inf 都是之前翻到過的
_sv_cmd_\_u_.exe 和u.exe 像是不知道在哪的資料夾和檔案
software\microsoft\windows nt\currentversion\winlogon 看來病毒動了登錄碼
svchost.exe 這個是系統裡負責載入各種服務的程式，平常就會有好幾個在執行，有些病毒會偽裝成它這樣執行時就不容易被認出來
病毒很可能正在監視，其他檔怎麼清都會被復原的，所以要先關掉病毒ˇ

在cmd執行C:\>tasklist /svc 查看

 
每個svchost.exe後面都說明負責的服務...咦，3988號的怎麼沒有? 就是你ˇ先不急著關掉，因為要知道他到底是誰好刪掉，使用冰刃檢查處理序
(IceSword 1.22繁中版 載點 http://portable.easylife.idv.tw/1019)

 
其他幾個都在system32，怎麼有個不合群的~所以C:\WINDOWS\system\svchost.exe也是病毒ˇ
在冰刃裡右鍵關了它(或是於cmd裡用命令taskkill /PID 3988)
接下來就是快樂的刪除時間了，把隨身碟裡RECYCLER和autorun.inf刪掉，去C:\WINDOWS\system\裡找svchost.exe時沒想到也看到裝著_u.exe_的_sv_cmd_資料夾，一起刪了，話說我在電腦裡找不到u.exe耶。
開始/執行/regedit開啟登錄編輯器，按照之前的資訊找到"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
 
NT\CurrentVersion\Winlogon"，發現Userinit這個值資料中出現"C:\WINDOWS\system\svchost.exe"<=不就是剛剛的病毒嗎，把逗點後面病毒的位址刪掉

這樣應該就清乾淨了ˇ
很可惜我的上機時間也沒有了(淚)下次不知道會不會又是一個月之後了= =
那幾個病毒相關檔我有保存起來，如果也想練習的人可以留言再給(應該很少人吧XD


又：
解完毒上網搜尋相關資料，居然發現有人也分析了這個病毒，方法和我超像的(神奇)不過有技術多了XD
http://net.ecit.edu.cn/news.asp?id=117 也看看喔