web-dev-qa-db-pt.com

conteúdo da unidade flash USB substituído por um único atalho

Eu estava confuso quando abri meu pen drive tudo o que vi foi um atalho com o seu alvo como

C:\Windows\system32\rundll32.exe ~ $ WO.FAT32, _ldr @ 16 desktop.ini RET TLS ""

Você pode se referir às imagens que eu enviei abaixo. Mostra o conteúdo do pen drive. O comando Prompt mostra o conteúdo oculto. Você pode ver que existe um com um nome em branco. Ele contém o conteúdo da unidade flash. Esse diretório também possui um desktop.ini dentro dele como conteúdo.

[.ShellClassInfo]
IconResource=%systemroot%\system32\Shell32.dll,7
IconFile=%SystemRoot%\system32\Shell32.dll
IconIndex=7

Ao contrário do primeiro desktop.ini (encontrado na raiz do pen drive). Tem algum tipo de conteúdo binário que francamente não sei colar aqui. Então, acabei de enviar o conteúdo do pen drive aqui . Então você pode ver você mesmo.

Outra coisa estranha é que o autorun.inf (que tem apenas 0 bytes) está sendo usado pelo wuauclt.exe. Você pode se referir à segunda imagem abaixo.

Alguém já experimentou isso também? Eu já tentei reformatar e reinserir o flash drive, mas ainda sem sorte.

contents of flash drive

autorun is locked

Eu fiz o hash do desktop.ini (o binário) e procurei por ele. Ele me indicou esses links que foram postados há alguns dias.

http://www.mycity.rs/Ambulanta/problem-sa-memorijskom-karticom-3.html

http://www.mycity.rs/Android/memoriska-kartica_2.html

desktop.ini (binário) d80c46bac5f9df7eb83f46d3f30bf426

Eu verifiquei o desktop.ini no VirusTotal. Você pode ver o resultado aqui . O McAfee-GW-Edition detectou-o como Heuristic.BehavesLike.Exploit.CodeExec.C

Eu vi as alças do wuauclt.exe no Process Explorer e vi o autorun.inf está sendo usado pelo exe. Você também pode perceber que um arquivo da pasta temp está aberto.

AppData\Local\Temp\mstuaespm.pif

Aqui é a verificação desse arquivo pif do VirusTotal. Aqui é uma cópia online do arquivo PIF e, por último, um arquivo aleatório que foi gerado depois que eu corri o arquivo PIF (usei sandbox).

wuauclt

11
kapitanluffy

Eu removi com sucesso alguns dias atrás já. Embora eu tenha postado esse aqui agora. Aqui está como eu removi o backdoor do meu computador.

http://blog.piratelufi.com/2013/02/usb-flash-drive-contents-replaced-with-a-single-shortcut/

Apenas percebi que a pergunta em si não é uma boa pergunta. É algo mais de um tópico para discussão. Obrigado pela "proteção" embora.

2
kapitanluffy

Use o comando Avisar para copiar seus arquivos para o disco rígido interno (verifique se você tem um software antivírus instalado e totalmente atualizado antes de fazer isso) e, em seguida, digitalize os arquivos antes de formatar a unidade e coloque os arquivos novamente na unidade.

0
danielcg