从SAV的4月24日病毒库仍然干不掉新版灰鸽子想到的

引子

  这个版本的灰鸽子已经出来有些日子了，但最近两天居然开始在我们这里通过U盘快速流行。尽管我始终保持每日更新SAV病毒定义，但它仍然对这个威胁无动于衷。

  其实手工清除这个木马也并不复杂（用runaut..和dllhost两个关键字一搜就能找到n个地方的转载，但其中关于删除runaut..文件夹的方法不适用，详见下文），而且它自我复制和传播的手法也十分的原始，依然是在各个盘符根目录下写autorun.inf并在其中指向木马运行文件，一旦执行该文件，那么就公式似的干一系列事情：

  在系统目录下插入一个以系统进程命名的病毒文件->修改注册表，加入服务项->修改常用exe文件的关联->启动木马进程并自我保护防止被结束。

  很俗的一个流程。

  只是它采取了在windows下非法的目录名作为存放木马运行文件的保护措施，也就是那个删不掉的runaut..文件夹。为嘛删不掉？因为它根本就不叫runaut..，本名是runauto...\，这个名字虽然在windows下是非法的，但可以通过命令行的方式创建出来。不信可以这样试：

  在运行中输入cmd，打开命令行窗口，输入命令：

md a...\

  然后dir一下，就能看到一个名为a..的目录，然后要删掉它的话，再输入命令：

rd a...\

  就没了。这对于没用过DOS的人来说可能很神奇吧。那个runaut..目录也要这样才能干掉，只不过因为它非空（里面有病毒本体文件），所以要给rd加上/s /q两个参数：

rd runauto...\

  不明白这个命令的话可以rd /?一下。（上面的命令没写错，是runauto...\）

言归正传

  其实我今天并不想说这个狗屎木马该如何清理。我只是在想，通过在移动设备中写入autorun.inf这种方式来进行传播的病毒木马已经出了很多很多了，而杀毒软件一般都是直接干掉autorun中指向的病毒/木马执行文件，然后就扔下autorun.inf不管了。这恐怕是出于一种怕错删autorun.inf的考虑，但我们可以想一下，有多少U盘、移动硬盘中会好好的出现autorun.inf？在移动设备中安插autorun.inf有什么用意？可以说90%以上的可能都是病毒或木马的入口。既然如此，为什么杀毒软件就不能特别关照一下移动设备中的autorun.inf文件呢？那可是个纯文本文件啊，病毒/木马执行文件的位置、名字都在里面写的一清二楚。

  各位杀毒软件大哥们，稍微分析一下autorun.inf就能知道是什么病毒，在哪里，这应该不困难吧。面对用非法目录名来命名文件夹这种下三滥的手法，你们不会也弹出一个什么“windows...引用了一个不可用的位置...”的弱智提示吧。

  为什么直到现在，用autorun.inf传播的病毒还这么猖獗呢？杀毒软件们，求求你们了，别再那么弱智了。别再让我继续手工杀毒了，很烦的！

尾巴

  在这里，我可以大胆预测：

1.明天（4月25日）的SAV病毒定义仍然杀不掉这个新版灰鸽子

2.如果有一天SAV的病毒定义能杀掉了这个木马，U盘中的autorun.inf还会留在那里

  呃...引子写了这么长，正文这么短，大头外星人一样，这样的作文要是高中老师看了又要给不及格了。呵呵...睡了