分类: 学术科技
作者: EricCRC

    病毒特征:在U盘根目录生成autorun.inf、ibtrun.bat、ibtrun.vbe、2007-09-27.sk等文件,删除后立即重复出现,可以强行替代用户自建的AutoRun.inf目录,是一种顽固的病毒。

    这个病毒主要是为了一个叫“太傻”的出国留学中介机构做宣传用的,所以先强烈BS一下,大家一定不能去那里咨询。

    先说一下怎么杀除这种病毒:

    (0)首先是显示系统隐藏的文件夹了,这很简单,再说一次。在文件夹窗口上选择"工具"→"文件夹选项"→"查看"标签,将"隐藏受保护的操作系统文件"前面的勾去掉,在"隐藏文件和文件夹"里选择"显示所有文件和文件夹",点确定。

    (1)检查C:\,看看根目录下有没有autorun.inf、ibtrun.bat、ibtrun.vbe这三个文件,如果有,删除掉。我这里是没有的。如果删掉以后又出现,直接到下一步。

    (2)进入C:\Windows\目录(准确的说是你的系统目录,请用户自己判定),找到s.vbe、uda.a、ibtrun.bat、ibtrun.vbe等文件(尽量找,找到哪些选哪些),一次直接删除。找到bakfiles文件夹,删除。

    (3)进入C:\Documents and Settings\All Users\「开始」菜单\程序\启动\,删除ibtrun.vbe文件。(这里的东西如果你看着觉得可疑,干脆全部删除好了,呵呵)

    (4)进入被感染U盘根目录,删除autorun.inf、ibtrun.bat、ibtrun.vbe、2007-09-27.sk四个文件。查看系统其他盘根目录,如果有,一并删除。

    (5)开始-搜索-所有文件,查找名为ilovetaisha.txt的文件、查找文件名包含uhere-的txt文件,继续删掉删掉(我就是不喜欢你,哈哈)。

    (6)没有6啦~如果要继续的话,上网搜一下怎么样关闭系统的自动运行一类的知识,另外搜索一些U盘转杀工具做实时防护。不过我们这个病毒用转杀工具搞不定……

    接下来我们看看病毒是怎么干活的。

    我们不追溯病毒是怎么到U盘里的,这有很多的方法。我们看看在你U盘里面以后它怎么工作的。

    插入U盘,对于开启了自动运行的系统,系统查找autorun.inf文件并运行。在病毒创建的autorun.inf中,调用wscript.exe(Windows脚本宿主设置)程序,并使用ibtrun.vbe作为参数,也就是运行后者。ibtrun.vbe只有一行命令,就是以命令行Shell的方式运行ibtrun.bat,重头戏开始了。
    ibtrun.bat是一个106行的批处理文件,不得不承认写的很好,而且包含了不少好的思想(从病毒制作的角度来说),很值得对命令行感兴趣的朋友们学习。所以我作为附件发出来。至于它到底在干什么,要一一解释的话,恐怕就是另外一篇文章了:-P

标签: ibtrun, 病毒, 太傻, 杀除