遭遇奇怪的U盘病毒

连同CSP的漫长的两周终于结束了,我从教室电脑随便复制了一点资料,回到家才发现U盘感染了一种病毒。其实我在复制时似乎就有现象,但想到反正教室里的有还原,应该不成问题。

资源管理器一打开,Windows Defender开始报威胁,而且接连不断。明显的现象是所有目录都被exe替换。提高了警惕,我启动了万年没用的Manjaro,不出所料,所有一级目录都被隐藏,并创建了同名的exe。留下样本并加密(防止Windows Defender发现)之后,删掉所有exe即可。然而,隐藏属性无法直接用资源管理器清除,如图所示。

试试attrib命令吧。经过一番折腾,发现目录只是设置为系统+隐藏,只要attrib -s -h即可。懒得想怎么批处理,我直接一个个手动处理了一下,大功告成。

与之形成对比的是,Windows Defender报了一个奇怪的名字,搜索一下并不会有有效的结果。看来还是要自己动手。另外我怀疑这种病毒在我校很常见,希望大家引起重视,说不定是哪个无聊的OIer写的呢。

总结起来,该病毒的已知行为如下:

  • 创建与所有一级目录同名的exe文件
  • 将所有一级目录文件属性设置为+sh

尚不清楚其他行为。这里提供病毒样本仅供研究学习,滥用带来的后果概不负责。解压密码是somevirus