發佈於

movemenoreg.vbs 一個隨身碟病毒

點閱: 42

病毒 movemenoreg.vbs 和之前的 Kavo 類似!

USB:
一、可以發現隨身碟內有 .lnk 檔案。
二、遇有 WindowsServices 資料夾,資料夾內有:
 helper.vbs
 installer.vbs
 movemenoreg.vbs
 WindowsServices.exe
 所以.vbs原始碼可參閱:https://www.bleepingcomputer.com/forums/t/619850/virus-creates-shortcuts-on-my-pen-drive-vbs-virus/
三、使用者原有的資料與資料夾,皆會被移至 _ 資料夾,並隱藏。

PC:
一、執行=>shell:startup 。
二、檢查系統啟動目錄是否有”helper”捷徑,若有代表該電腦已被植入程式。

整體功能主要是將 WindowsServices 中的三個檔案複製到 %AppData%\WindowsServices 資料夾中,使電腦成為帶原者。而成為帶原者的電腦,將會利用腳本注入病毒至連接的卸除式裝置(Removable Device)中。而被感染的卸除式裝置再感染其他電腦,因而災情擴大。

重點提醒:打開USB之後的USB捷徑千萬不要點!

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料