昨晚崔蕭兩母女, 為了入中學申請書裡面要求的才藝資料, 特來借用掃描器, 掃好了再用她們提供的的USB手指存檔, 因為有用 Norton 的防毒軟體, 所以完全沒有戒心, 誰知道大條的事情來了. 所以隨便交配 (註: 交換配置), 不管用什麼方式, 例如以 [USB手指] 插入 [USB洞], 都有可能感染到病毒
小心小心!!
首先是除錯器 (Debugger) 報告有 Kavo.0002102 軟體錯誤, 要求繼續除錯還是重置, 這時候因為有 INT3 的中斷功能, 所以就把這個東東先凍結, 還是沒有太注意問題.
稍後, 越來越多報告說, CPU的溫度升高, 某幾個應用程序的 Memory address 0x0000xxxx can not be read.
再來 IE 顯得反應很慢, 心想不妙, 因為電腦不尋常的反應. 所以乾脆拆電池斷電, 終止機器的運作. 然後重新開機. 但是一登入就有跳出來一個窗口說, Kavo.exe 在 模組 xxxx.4f00202 發生異常, 要求停止執行. 另外自動登入的 Yahoo Messenger, 也顯示 Memory address 0x0000xxxx can not be read 而關閉.
因為平時從來沒有見過 Kavo.exe, 所以 Google 看看到底 kavo.exe 是什麼.
http://www.google.com/search?sourceid=navclient&ie=UTF-8&rls=GGLR,GGLR:2006-36,GGLR:en&q=Kavo%2eexe
結果如所料, 真的是有機會透過 USB手指 傳播的病毒, 看看日期, 原來2007年8月份已經有發現類似的問題, 並且手動的解決了, 而由俺的經歷看來, 所謂的 Norton 防毒軟體根本還沒有跟上.
再來看看人家怎樣描述, 總結資料入下 :
這隻病毒的關鍵在於會強制綁死檔案總管, 不允許顯示有隱藏屬性的檔案, 包括這個病毒本身. 俺就是參考這個, 然後是用手動殺毒的方法 |
制止了這個病毒啟動後, 看看到是什麼一回事, 回到 C: 和 D: 底下, 看到已經被改名的 Autorun.inf, 另外還有個不知名 af9rgm8h.bat
Autorun.inf, 原來不應該存在 C:\ 或 D:\ 底下的, 但是病毒利用這樣的方法來啟動, 每次開機或開啟檔案都有動作, 裡面的內容就是要運行 af9rgm8h.bat
到底 af9rgm8h.bat 又是什麼, 看看, 原來並非文字格式的正常 BAT 檔案, 開頭的 MZ@, 表示他骨子裡頭是一個 EXE 之類的可執行檔案, 應該是 kavo.exe 病毒本身或主要部份, 只是變化了名稱, 逃避清毒, 方便傳播病毒.
請先 登入 以發表留言。