2008 电脑报第 11 期 U 盘装系统文章的下载软件被杀毒软件报毒。查了下,具体报的应该是 ujihe.rar/u 盘装系统/软件/其他 u 盘主控芯片使用软件/chipsbank_cmb2080_v4.0.rar/修复工具/auto.iso/下的 autosvr.exe 文件。
到网上查了下文件信息,又把样本传到在线查毒网站,绝大多数报病毒。
继续搜索,发现有说是 U 盘芯片中的固有文件,是厂商写入的,因为很多反映新盘就有此文件,参考一个:http://coolman99.blog.163.com/blog/static/2424782720071111528384/ 这里写得就是厂商的文件。还有一篇:http://hi.baidu.com/lixingan/blog/item/ec96d33632539edea2cc2bc4.html (这是说去光盘盘符的)
根据测试,autosvr.exe 激活后具体的动作是加入注册表启动项,并在 windows 目录下释放一个文件:windrives.exe(注意这个文件名曾被报过是病毒文件,不过病毒文件所在位置是在 c:\windows\system32 下的,而不是上面说的 c:\windows 下),这个文件会在内存中保护其启动项(确实也象是病毒行为),但在网络活动方面没有发现有什么网络连接。
因此怀疑确实是厂商的文件,用于产生自动运行,所以有的 U 盘会有光盘盘符。那篇电脑报文章中说的就是在闪存中建立虚拟光盘。
© 版权声明
1.文章资源部分来自互联网,仅供学习参考使用。
2.商用请支持正版。若不听劝告,出现任何后果,均与本站无关。
3.如果文章对您有帮助,建议大家Ctrl+D收藏本站,网站持久离不开大家的鼓励和支持!
THE END
暂无评论内容