isi usb flash drive diganti dengan satu shortcut

11

Saya bingung ketika saya membuka flash drive yang saya lihat hanyalah jalan pintas dengan target sebagai

C: \ Windows \ system32 \ rundll32.exe ~ $ WO.FAT32, _ldr @ 16 desktop.ini RET TLS ""

Anda dapat merujuk ke gambar yang saya unggah di bawah ini. Ini menunjukkan isi dari flash drive. Prompt perintah menampilkan konten tersembunyi. Anda bisa melihat ada yang dengan nama kosong. Ini berisi isi dari flash drive. Direktori itu juga memiliki desktop.ini di dalamnya dengan ini sebagai konten.

[.ShellClassInfo]
IconResource=%systemroot%\system32\SHELL32.dll,7
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=7

Berbeda dengan desktop.ini pertama (ditemukan di root flash drive). Ini memiliki beberapa jenis konten biner yang terus terang saya tidak tahu bagaimana menempel di sini. Jadi saya baru saja mengunggah konten flash drive di sini . Jadi Anda bisa melihatnya sendiri.

Hal aneh lainnya adalah autorun.inf (yang hanya memiliki 0 byte) sedang digunakan oleh wuauclt.exe. Anda bisa merujuk ke gambar kedua di bawah ini.

Adakah yang pernah mengalami ini juga? Saya sudah mencoba memformat ulang dan memasukkan kembali flash drive tetapi masih belum berhasil.

isi flash drive

autorun terkunci

Saya hash desktop.ini (yang mirip biner) dan mencarinya. Itu menunjukkan kepada saya tautan-tautan ini yang baru saja diposting beberapa hari yang lalu.

http://www.mycity.rs/Ambulanta/problem-sa-memorijskom-karticom-3.html

http://www.mycity.rs/Android/memoriska-kartica_2.html

desktop.ini (binary) d80c46bac5f9df7eb83f46d3f30bf426

Saya memindai desktop.ini di VirusTotal. Anda dapat melihat hasilnya di sini . McAfee-GW-Edition mendeteksinya sebagai Heuristic.BehavesLike.Exploit.CodeExec.C

Saya melihat pegangan wuauclt.exe di Process Explorer dan melihat autorun.inf sedang digunakan oleh exe. Anda juga dapat memperhatikan bahwa file dari folder temp dibuka.

AppData \ Local \ Temp \ mstuaespm.pif

Ini adalah pemindaian file pif itu dari VirusTotal. Berikut ini adalah salinan online dari file PIF dan terakhir, file acak yang dihasilkan setelah saya menjalankan file PIF (saya menggunakan kotak pasir).

wuauclt

usb usb-flash-drive virus desktop autorun kapitanluffy
sumber
Ini dihidupkan dan saya menggunakan windows. Jadi sejauh yang saya tahu, file tersembunyi di Linux (.foldername) masih akan ditampilkan di windows. (seperti folder
.Trash
1
Mungkin baca ini - irongeek.com/i.php?page=security/altds
cutrightjm
Jika demikian, bukankah itu akan ditampilkan di Explorer seperti desktop.ini: virus.exe, bukan hanya desktop.ini? (dengan asumsi desktop.ini mengandung virus)
kapitanluffy
Jika Anda telah membaca posting, saya sudah mengunggahnya dan memberikan tautannya.
kapitanluffy
mulai. \ test.txt: note.exe tidak berfungsi di win 7 itu mengatakan bahwa tidak ada program yang terkait untuk melakukan tindakan yang diminta. dan menunjukkan akses ditolak di command prompt
kapitanluffy

Jawaban:

2

Saya berhasil menghapusnya beberapa hari yang lalu. Padahal saya baru saja memposting yang ini sekarang. Inilah cara saya menghapus backdoor dari komputer saya.

http://blog.piratelufi.com/2013/02/usb-flash-drive-contents-replaced-with-a-single-shortcut/

Baru menyadari bahwa pertanyaan itu sendiri bukanlah pertanyaan yang sangat bagus. Ini adalah sesuatu yang lebih dari topik diskusi. Terima kasih untuk 'perlindungan'.

kapitanluffy
sumber
Sial, jadi itu virus? Saya mendapatkan ini setelah mencolokkan flash drive saya ke komputer kampus
deathlock
2
Harap, hindari memberikan jawaban yang hanya berupa tautan.
Orang Brazil itu
0

Gunakan prompt perintah untuk menyalin file Anda ke HDD internal Anda (Pastikan Anda memiliki perangkat lunak virus yang diinstal dan diperbarui sepenuhnya sebelum melakukan ini) dan kemudian memindai file sebelum memformat drive, dan kemudian meletakkan file kembali ke drive.

danielcg
sumber