開機彈出無標題的記事本
 

]開機彈出無標題的記事本
關鍵字詞：無標題的記事本 開機彈出記事本 wincfgs.exe KB20060111.exe

近日在HelpOnline論壇中碰到如此案例，某用戶反饋在接入自己的Fast Rom碟的電腦都會出現開機彈出無標題的記事本，很是煩人。

由於該用戶提交樣本時沒有提交母體文件Wincfgs.exe，不能準確分析。只有分情況來討論了。
由於這種情況都是在使用了諸如Fast Rom碟的移動儲存於的電腦出現的，所以導致根源應該在Fast Rom碟上所儲存於的文件。

1、蠕蟲病毒的可能性：
這個Fast Rom碟可能被感染有蠕蟲病毒，在接入別的電腦上便會使得該電腦出現這種開機彈出無標題的記事本的情況，不過蠕蟲病毒至少需要啟動，也就是執行一下這個蠕蟲病毒。但僅僅從症狀來看又沒有什麼危害，應該不至於稱作蠕蟲病毒，所以暫時定為Joke程序

2、autorun.ini的小把戲：
在這個Fast Rom碟中儲存於有autorun.ini，也就是上面提到的可以用於啟動程序的原因。如果autorun.ini中指定了程序，那麼便會在雙按開啟Fast Rom碟的時候就啟動了這個Joke程序。

當啟動了這個Joke程序應該會有如下行為：
修改註冊表項：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的名為Load的註冊表鍵為：
C:\windows\system32\wincfgs.exe

修改%SystemRoot%\Notepad.exe文件的檔案名為KB20060111.exe（或其它檔案名），或者只是複製了一份Notepad.exe文件並命名為KB20060111.exe（或其它檔案名）。

開機彈出的記事本便是這個KB20060111.exe文件了，誘發這個KB20060111.exe的啟動可能不是一般啟動項，而是wincfgs.exe這個文件啟動（呼叫）KB20060111.exe文件的。

就是說KB20060111.exe這個文件並非病毒或者Joke程序本身，其實KB20060111.exe就是一個記事本程序（這也就是為什麼KB20060111.exe文件的圖示也是一個記事本程序的圖示的緣故）。另外沒有清理wincfgs.exe的電腦再次接入一個乾淨的移動儲存於設備可能會再次傳染這個移動儲存於設備。

那麼解決辦法就出來了：
1、修改註冊表
a.執行「regedit」啟動註冊表編輯器；
b.分別移除註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load註冊表鍵裡的鍵值內容。
不放心的話可以搜尋「wincfgs.exe」的註冊表鍵並移除之
由於沒有得到wincfgs.exe樣本文件，所以無法準確判斷有關註冊表項，但是可以直接使用Hijackthis修復類似這個項目：
F3 - REG:win.ini: load=C:\windows\system32\wincfgs.exe

2、移除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe

上述是解決被感染的電腦的解決辦法，下面還要處理一下有問題的移動儲存於設備：
開啟移動儲存於設備下的autorun.ini文件，檢視其中指定的文件是哪個並且移除這個文件。
移除移動儲存於設備下的autorun.ini文件，這個文件一般是隱藏的，所以需要設定資料夾選項為顯示所有文件和資料夾選項的。

Blog Tags: wincfgs.exe KB20060111.exe 記事本

開機彈出無標題的記事本——後續分析
鍵字詞： wincfgs.exe autorun.exe KB20060111.exe TrojanSpy.USBSpy.a Worm.USBSpy.aj.42868 Trojan.Spy.UsbSpy.a Worm/Delf.AJ.1 Trojan.Agent.AAE Worm.Win32.Delf.aj

由於成功獲取wincfgs.exe樣本文件，可以準確分析此樣本行為，在此謝謝Zhengxin朋友提供樣本。

實際情況和《開機彈出無標題的記事本》一文分析的那樣差不多，只是有些細節需要說明一下。

此樣本有如下行為：

【新增註冊表項】
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
修改其下的名為Load註冊表鍵的鍵值內容為「C:\windows\system32\wincfgs.exe」

【新增文件】
C:\WINDOWS\system32\wincfgs.exe（註釋：和在移動儲存於設備中的autorun.exe是同一個文件）
C:\WINDOWS\KB20060111.exe（註釋：純粹是一個記事本程序）

【寫入移動儲存於設備】
在移動儲存於設備中產生autorun.inf，其中的內容為
----------------------------------------------------
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe

----------------------------------------------------
並且在移動儲存於設備中產生名為RECYCLER的資料夾，在其下再產生名為RECYCLER的資料夾，在這個資料夾下產生desktop.ini文件，內容如下
----------------------------------------------------
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
----------------------------------------------------
這個desktop.ini將第二個RECYCLER資料夾偽裝成資源回收桶，在第二個RECYCLER資料夾中便儲存於著autorun.exe文件。

正是當接入移動儲存於設備後autorun.inf文件啟動autorun.exe文件以至於中毒。

前文猜測這僅僅是一個Joke程序，但由於行為特點，被眾多安全廠商定義為Worm（蠕蟲病毒）。


此病毒的解決方法：
1、修改註冊表
a.執行「regedit」啟動註冊表編輯器；
b.清空註冊表鍵值內容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下的Load註冊表鍵裡的鍵值內容。（請不要將Load註冊表鍵一併移除）

2、移除文件
C:\WINDOWS\system32\wincfgs.exe
C:\WINDOWS\KB20060111.exe

清理被感染的移動儲存於設備的方法：
移除移動儲存於設備下的autorun.inf文件，移除移動儲存於設備下的RECYCLER資料夾。
autorun.inf和RECYCLER資料夾均被隱藏，請先設定顯示所有文件和資料夾選項才可以看到並移除。


大陸三大（江民KV、瑞星、金山毒霸）均可查殺此蠕蟲病毒/USB間諜，國外的Antivir、BitDefender、Dr.Web（驅逐艦）、卡巴斯基等均可查殺，使用這些安全軟體的用戶可以查殺並防禦。

這是最新的病毒ㄇ,隨著科技的進步,病毒也跟著越來越厲害了,感謝大大的告知~~