關於jwgkvsq.vmx和autorun.inf

Win32/Conficker.C 會自動移除使用者電腦中與防毒或安全分析工具字串有關的處理程序。

微軟於去年10月釋出MS08-067緊急更新，修補視窗作業系統中的Server service漏洞，去年11月，出現首隻針對該漏洞的蠕蟲Win32/Conficker.A，今年1月新的變種Win32/Conficker.B出爐，上周賽門鐵克又發現最新變種Win32/Conficker.C已現身，該變種會移除電腦中的防毒程式。

根據估計，全球曾有超過1000萬台電腦感染Conficker蠕蟲，堪稱是近年來最嚴重的災情。但賽門鐵克也表示，該蠕蟲的災情並未持續擴大。Win32/Conficker.A蠕蟲大多散布在企業內部，隨機攻擊網路上的電腦，當其中一部電腦被攻擊，該電腦即會下載蠕蟲的複本，並偽裝為JPG檔案以及儲存在系統內的DLL檔案匣中。此外，該蠕蟲自動修補了系統記憶體中的API漏洞，以確定這台電腦不會被其他駭客掌控。

Win32/Conficker.B則會自行破解使用簡單密碼的網路分享，然後將惡意程式複製到網路分享資料夾之後，再感染其他使用者。同時Win32/Conficker.B每天會自動產生250個假的網域名稱，以降低惡意網域名稱及伺服器被查獲的機率。

Win32/Conficker.C除了將每天自動產生的偽造網域名稱增加到5萬個以外，並會自動移除使用者電腦中與防毒或安全分析工具字串有關的處理程序，諸如wireshark、unlocker、tcpview、sysclean等。

賽門鐵克指出，Conficker蠕蟲作者應該是想延長該蠕蟲存於電腦中的壽命，避免該蠕蟲被防毒軟體偵測到，而非企圖擴大感染。

有鑑於Conficker蠕蟲所釀成的災情，微軟在今年2月宣布懸賞25萬美元找出Conficker蠕蟲的作者，並採取行動透過與安全產業與學術界的結盟瓦解Conficker蠕蟲的散布。（編譯/陳曉莉）
轉自http://www.ithome.com.tw/itadm/article.php?c=53865

感染症狀有點像普通的USB蠕蟲
會產生autorun.inf
也會關閉使用者電腦的顯示所有檔案功能
不過在使用登錄檔重新開啟該功能之後
會在隨身碟的磁碟槽中發現一個叫做RECYCLER的隱藏目錄
裡面有一個S-5-3-42-2819952290-8240758988-879315005-3665資料夾
打開之後大部分的人都會認為把裡面的jwgkvsq.vmx砍掉就萬事OK
不過事實顯然不是這樣
網路上的解決方案是使用bitdefinder提供的免費掃毒程式Anti-Downadup-graphics.exe或anti-Downadup-console.exe
當初我也是做到這邊就認為沒事
不過過了一陣子我突然發現我的電腦裡的隱藏資料夾還是無法顯示
而且隨身碟還是會自己產生jwgkvsq.vmx和autorun.inf這兩個檔案
一開始我認為是由其他電腦感染給我的隨身碟
因為這陣子隨身碟有拿去插別人的電腦
不過因為我的電腦autorun是關閉的
所以透過AUTORUN感染的病毒對我通通都不管用(除非手殘點到自動播放...)
不過就在我把這兩個檔案刪除並用正常程序退出及重新插入隨身碟後
發現被刪除檔案依然健在
表示我的電腦本身也是感染源
這下只好從頭查起了
根據網路上的文章的說法
理論上應該會在C槽的system32底下找到一個叫做mmutspxi.dll的隱藏檔
不過除了在登錄檔可以發現它曾經存在之外
其他地方都沒有它的蹤跡
但是病毒確實仍然還在運作
所以只能試著從登錄檔找蛛絲馬跡
前面已經找到一筆跟mmutspxi.dll有關的機碼並刪除
接下來我把S-5-3-42-2819952290-8240758988-879315005-3665這串檔案目錄的名字也丟進去
還真的找到另外一筆資料
WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
不過位置我忘記記錄
總之把這筆登錄檔砍掉之後重新再插拔隨身碟都沒有感染的狀況
看樣子應該是搞定了
雖然我沒有找到本體
不過我還用了另外一個手段
就像大部分USB病毒防治軟體做的一樣
在各個槽中建立一個名為autorun.inf的資料夾讓病毒無法寫入
我直接建立了一個jwgkvsq.vmx的資料夾在s-5-3-42-2819952290-8240758988-879315005-3665裡面

不過這個就只能治標就是了

萬一將來病毒改一個字重新作為變種出來

那就沒完沒了了

另外

網路上還有提到C:\SYSTEM VOLUME INFORMATION\_RESTORE{129201FA-B0AC-49B3-96B2-DEB8B91E727B}\RP186\A0040663.DLL這個路徑的資料也可能是名為Hack.Exploit.Win32.MS08-067.ix的病毒

不過我的電腦裡沒有

至於打開C:\SYSTEM VOLUME INFORMATION的方法

在CMD模式底下輸入

cacls "C:\System Volume Information" /e /g everyone:f && rd /s /q "C:\System Volume Information"

最後補充

據說這隻病毒會阻擋很多防毒軟體比方阻止防毒軟體更新之類的

不過因為我的電腦沒有灌防毒軟體

所以跟防毒軟體有關的狀況我都沒發生