手刃jwgkvsq.vmx 及浅谈U盘病毒（转贴）

最近公司U盘病毒肆意，同事叫有病毒，听到挺烦的，于是就考了病毒回自己的机研究下，发现U盘病毒是jwgkvsq.vmx 。

xx方法
    1.在“开始”、“运行” 输入“regedit” 打开注册表编辑器 依次打开
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\

Hidden\SHOWALL]

到右侧，右击把CheckedValue值修改为1。然后在打开资源管理器在“工具”->“文件夹选项” ->“查看” 选上"显示所有文件和文件夹" ，并把“隐藏受保护的操作系统文件” 前面的点点掉，这样就可以看到隐藏文件了。

    2.在注册表里发现该回收站的SID

（HKLM_Software_Microsoft_Windows_CurrentVersion_InstallerUserData）

，里面有一项值，写着c:\window\system32\mmutspxi.dll。利用命令attrib将该文件属性去掉（具体方法打开cmd,进入c:\window\system32,然后输入

attrib mmutspxi.dll -a -s -r -h ）

，删除源文件，并将注册表中相关的信息删除。重启计算机。由于该病毒加载项被xx，病毒已经无法进行启动加载，此时，xx各盘中的RECYCLER及autorun.inf后，病毒不会被重写入U盘。说明：若不显现隐藏文件，RECYCLER、autorun.inf、mmutspxi.dll这三个文件是看不到的，而且看清楚了是RECYCLER不是RECYCLED，RECYCLED是回收站，而RECYCLER打开里面是文件夹

S-5-3-42-2819952290-8240758988-879315005-3665

，再打开就是病毒的原体了jwgkvsq.vmx，由于后缀名vmx我不了解，要是exe，dll我就进行解剖了。 实际上后来查了发现此病毒名字（指的是释放后的DLL病毒）是随机产生的。想要找此病毒只要根据时间搜索就可以了，你双击盘时间跟c:\window\system32里新产生的文件一样，而且是隐藏只读就基本是病毒了。当然{zh0}先备份一份并压缩好。
       当然要是闲手工杀毒麻烦，那就用专杀工具吧！

下载地址：

jwgkvsq.vmx病毒利用了微软的“MS08-067”漏洞下载KB958644补丁安装补丁重启以后，删除U盘autorun.inf文件和RECYCLER文件夹后，系统不再自动复制autorun.inf文件和RECYCLER文件夹到U盘。
下载地址：

。
付：在国内网站找了半天也没有发现什么病毒描述的信息，到国外网站找到一点描绘信息由于英语水平有限大家将就着看下译文为：利用一个在视窗

()

中安全洞来关于网络传播它自己，在感染一台机器之后,Confi随着一任意行动地产生名字建立一服务和设法感染在同局域网中其它电脑.它也把它自己投到任何把插入感染机器可移动的媒体(通用串行总线)里。当利用邻近的电脑的尝试失败的时候，蠕虫运作一次蛮力-对软弱密码的攻击，因为蠕虫从它的文件去除权利和所有权,在 Win32:Confi文件之上Filesystem运算对于共用用户是并非容易接近的。
原文为

DescriptionWin32:Confi exploits a security hole in Windows (http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx ) to propagate itself over networks. After infecting a machine, Confi creates a service with a randomly generated name and tries to infect other computers in the same subnet. It also drops itself into any removable media (USB sticks) plugged into the infected machine. When the attempt to exploit neighbouring computers fails, the worm runs a brute-force attack against weak passwords. Filesystem operations above the Win32:Confi files are not accessible for common users (not even for administrators), because the worm removes the rights and ownership from its files.

运行原理
      其实只要没有运行病毒，对付U盘病毒的是很轻松。我先简单说下U盘病毒运行原理：首先病毒由两部分组成，
1、配置文件，也就是autorun.inf，导致双击盘符就运行病毒的原因这个文件以前主要用于光盘的自启动，但是现在普遍用于U盘病毒，要是autorun.inf里面的内容没有用混乱代码工具混乱过，打开通常是下面内容：
[autorun]
OPEN=可执行文件.exe
ICON=相关的图标文件.ico
最关键的是autorun.inf文件是可以被用于硬盘驱动器上的，也是就是说把光盘内容全部复制到硬盘根目录下，双击该盘符，文件就自动运行了，所以被广泛用于U盘病毒上。
2、病毒的安装文件，通常是exe程序，但是也有另外，比如上面所说的就是vmx文件。一旦运行病毒通常就会释放到c:\windows\system32 或者直接就在windows下，让后对autorun.inf和原安装程序形成保护，一旦发现被删又马上重新生成。

防范
      不让U盘病毒运行最简单方法，右击打开U盘，不要双击打开，{zh0}是在资源管理器输入盘符，右击打开也是有一定可能性运行，原因具体详见 http://bbs.antidu.cn/thread-14350-1-1.html   这就不做讨论了。病毒通常是隐藏的，所以建议显示隐藏文件，发现可疑文件及时删除。打开资源管理器在“工具”->“文件夹选项” ->“查看” 选上"显示所有文件和文件夹" ，并把“隐藏受保护的操作系统文件” 前面的点点掉，这样就可以看到隐藏文件了。还有下个U盘免疫软件，这样能就有效的防治不小心运行U盘病毒，其实也就是在各盘符下建个windows不访问文件夹autorun.inf。由于不可访问，病毒的autorun.inf就无法把文件夹autorun.inf替换掉，也就是无法自动运行病毒原安装程序了