摘要
笔者借助 Windows Defender 在使用移动硬盘时发现某目录打开导致死机,分析后确定目录下的安装包携带蠕虫病毒,并对病毒进行溯源和清除。
发现计算机异常
硬盘无法弹出
下午 15:30 前后,我正在实验室安装机试环境,尝试从移动硬盘(WD-My Passport)中拷贝需要的安装包。我想要结束对硬盘的访问并弹出硬盘时,系统始终提示:
该设备正在使用中。请关闭可能使用该设备的所有程序或窗口,然后重试。
我反复检查后没发现正在使用硬盘的窗口。老师建议我直接拔,事后证明这一建议是明智的。我以为只是某个小进程没有关闭,并未留意这一问题。
硬盘引起文件管理器频繁死机
我将硬盘插到自己的个人计算机后,进通过文件系统访问 Installation Package 目录,该目录存放了机试需要的各种软件(IDE 安装包和 JDK 等)。我每次访问该目录,文件管理器立刻停止响应,持续一段时间后我只能关掉文件管理器,重新访问该目录。如是数次。
Windows Defender 的防护
多次关闭文件名管理器后,Windows Defender 发出对安全威胁的提醒。点开后显示如下:
病毒溯源
确认该病毒为 Worm.Win32.AutoRun 后,在网络上查找相关资料。百度百科1 提供的内容如下:
Worm.Win32.AutoRun 是计算机病毒,病毒属蠕虫类,用病毒代码感染文件,使用户双击盘符就会自动运行病毒,隐藏开启浏览器进程连接网络下载大量病毒文件,使用户的网络虚拟财产遭受损失。
- 病毒名称: Worm.Win32.AutoRun.doc
- 病毒类型:蠕虫
- 文件 MD5: 476F8BA41F54238BA132DEC7B6C0B183
- 公开范围:完全公开
- 危害等级: 4
- 文件长度: 9,032 字节
- 感染系统: Windir98 以上版本
- 开发工具: Microsoft Visual C++ 6.0
- 加壳类型: WinUpack 0.39 final -> By Dwing
我在网友分享的内容中2发现了如下内容:
本次 Worm.Win32.AutoRun 的来源:
windows 电脑上重装 vscode,然后没有 mingw-get-setup 软件,网上下了一个,由于没注意细节,导致软件里面有这种病毒,网址:https://sourceforge.net/projects/mingw/reviews/
就是这个网址里面的病毒,good。
会想起我今天下午按照知乎网友的建议3,同样在 sourceforge 网站上下载了 Dev C++ 并把安装包放在了 Installation Package 目录下。据此我推断,该病毒正是来自从这一网站下载的软件。
给自己提个醒:下载软件的时候需要确认网站的正规性,并不是所有的短域名的英文网站都靠谱。
病毒清除
在 Windows 系统根本无法正常打开病毒所在目录。鉴于病毒只作用于 windows 系统,我使用手机(华为 nova7)访问硬盘的文件系统并成功删除了目录下的这一安装包。此后,Installation Package 目录在 windows 系统下可以正常访问。
使用一段时间后,硬盘无法弹出 和 硬盘引起文件管理器频繁死机 的问题又复现。我删除了整个 Installation Package 目录也并不解决问题。我观察到 Windows Defender 仍然在提醒系统存在威胁,包括 GoRansom 勒索病毒和 Trojan:Win32/Vigorf.A 病毒。
笔者使用 Windows 系统对整个硬盘进行格式化后,这一问题不再复现。
2024 年 3 月 5 日,安装考研复试环境时,该病毒再次复现,但已经不清楚病毒来源……实验室的 Windows 10 系统并没有打开 Windows Defender,因此无法监控哪些机器感染了病毒。时至今日,偶尔出现并且通过 U 盘/硬盘插拔传播的病毒幽灵般萦绕在实验室上空。
