今天拿回我的USB隨身牒之後就看到裡面有兩個好料。

• autorun.inf
• utcn8c63.exe

因為隨身牒在外流浪多時，所以也不曉得到底是那個同事遺留下來的好料。好家在前兩天已經有發通告給全辦公室要把autorun給關了，所以中午開了幾台電腦來看都沒人中標。而唯一中標的是.....某業務部高階主管未婚妻的NB.....而我要負責把它搞定......正所謂這就是人生阿......

 

well~~這款autorun病毒自我檢查的方式很簡單，只需要簡單的幾個步驟就知道有沒有中標了。

1.開【我的電腦】

4.按下確定

接著呢，依照剛剛的步驟，來到第三步，如果你發現【隱藏檔案和資料夾】選項已經跳回【不顯示所有檔案和資料夾】，那就恭喜你中標啦~~~~~~

觀看全文...

前兩天才處理完丫環的spoolsv問題，今天被大頭目二號機叫去處理autorun.inf的病毒(見鬼了....我當年應徵進去的好像是wap捏.....)。
autorun.inf是啥?他不是病毒，但是經過鑽石牌硬碟的風波(詳見:新硬碟也有木馬！注意USB病毒，新聞源:iThome online)，相信不少人已經把autorun.inf當成病毒看待了。

觀看全文...

這是昨晚丫環問我的問題。

孤狗了一下，我想應該八九不離十是病毒了。
先來了解一下spoolsv.exe的功能是啥~~
spoolsv.exe的服務是Print Spooler，描述的部份是「將檔案載入記憶體中以待稍後列印。」，簡單來說就是把列印工作排進印表機的工作清單裡(不然檔案要等列印印完才能關掉，這多麻煩阿~~)。這是個很簡單的工作，但是為何會佔掉CPU的100%資源咧???正常來說，如果是CPU要等其他的I/O (Input/Output)，會吃資源的是System Idle Process，而不會是該服務本身去吃資源，所以應該是病毒惹的禍。

根據賽門鐵克的供詞這是一隻叫做Backdoor.Ciadoor的木馬病毒。他會偽裝成Print Spooler的服務(所以這隻木馬的執行檔也就是spoolsv.exe)，而常駐在系統裡面，賽門鐵克是寫這隻木馬的危險性是LOW的，但是會吃掉 100%的CPU感覺就是一整個不爽。既然不爽，我們就要讓他來個痛快。


觀看全文...