contenido de la unidad flash usb reemplazado con un solo acceso directo

11

Estaba confundido cuando abrí mi unidad flash, todo lo que vi fue un atajo con su objetivo como

C: \ Windows \ system32 \ rundll32.exe ~ $ WO.FAT32, _ldr @ 16 desktop.ini RET TLS ""

Puede consultar las imágenes que cargué a continuación. Muestra el contenido de la unidad flash. El símbolo del sistema muestra los contenidos ocultos. Puede ver que hay un con un nombre en blanco. Contiene el contenido de la unidad flash. Ese directorio también tiene un desktop.ini dentro con estos como contenido.

[.ShellClassInfo]
IconResource=%systemroot%\system32\SHELL32.dll,7
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=7

A diferencia del primer desktop.ini (que se encuentra en la raíz de la unidad flash). Tiene algún tipo de contenido binario que, francamente, no sé cómo pegar aquí. Así que acabo de subir el contenido de la unidad flash aquí . Para que pueda verlo usted mismo.

Otra cosa extraña es que autorun.inf (que tiene solo 0 bytes) está siendo utilizado por wuauclt.exe. Puede consultar la segunda imagen a continuación.

¿Alguien ha experimentado esto también? Ya intenté volver a formatear y volver a insertar la unidad flash, pero todavía no tuve suerte.

contenido de la unidad flash

la ejecución automática está bloqueada

Hashed el desktop.ini (el binario) y lo busqué. Me señaló estos enlaces que se acaba de publicar hace unos días.

http://www.mycity.rs/Ambulanta/problem-sa-memorijskom-karticom-3.html

http://www.mycity.rs/Android/memoriska-kartica_2.html

desktop.ini (binario) d80c46bac5f9df7eb83f46d3f30bf426

Escaneé el desktop.ini en VirusTotal. Puede ver el resultado aquí . McAfee-GW-Edition lo detectó como un Heuristic.BehavesLike.Exploit.CodeExec.C

Vi los controladores de wuauclt.exe en el Explorador de procesos y vi que autorun.inf está siendo utilizado por el exe. También puede notar que se abre un archivo de la carpeta temporal.

AppData \ Local \ Temp \ mstuaespm.pif

Aquí está el escaneo de ese archivo pif de VirusTotal. Aquí hay una copia en línea del archivo PIF y, por último, un archivo aleatorio que se generó después de ejecutar el archivo PIF (usé sandbox).

wuauclt

kapitanluffy
fuente
Está encendido y estoy usando Windows. Hasta donde yo sé, los archivos ocultos en Linux (.foldername) todavía se mostrarán en Windows. (como la carpeta .Trash-0001)
kapitanluffy
1
Tal vez lea sobre esto - irongeek.com/i.php?page=security/altds
cutrightjm
Si ese es el caso, ¿no se mostrará en el Explorador como desktop.ini: virus.exe en lugar de solo desktop.ini? (suponiendo que desktop.ini contiene el virus)
kapitanluffy
Si has leído la publicación, ya la subí y proporcioné el enlace.
kapitanluffy
start. \ test.txt: note.exe no funcionó en win 7, dice que no hay ningún programa asociado para realizar la acción solicitada. e indica que se ha denegado un acceso en el símbolo del sistema
kapitanluffy

Respuestas:

2

Lo eliminé con éxito hace unos días. Aunque acabo de publicar este en este momento. Así es como eliminé la puerta trasera de mi computadora.

http://blog.piratelufi.com/2013/02/usb-flash-drive-contents-replaced-with-a-single-shortcut/

Acabo de darme cuenta de que la pregunta en sí no es una muy buena pregunta. Es algo más un tema de discusión. Gracias por la 'protección' sin embargo.

kapitanluffy
fuente
Maldición, ¿entonces es un virus? Obtuve esto después de conectar mi unidad flash a una computadora del campus
deathlock
2
Por favor, evite proporcionar una respuesta que sea solo un enlace.
Ese tipo brasileño
0

Use el símbolo del sistema para copiar sus archivos a su HDD interno (asegúrese de tener un software antivirus instalado y completamente actualizado antes de hacer esto) y luego escanee los archivos antes de formatear la unidad y luego vuelva a colocar los archivos en la unidad.

danielcg
fuente