V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hyxxsfwy
V2EX  ›  信息安全

能让 NTFS 无损转 FAT32 的蠕虫病毒

  •  
  •   hyxxsfwy · 2017-07-09 01:10:47 +08:00 via Android · 3893 次点击
    这是一个创建于 2697 天前的主题,其中的信息可能已经有所发展或是发生改变。
    V2 上的大佬们有见过能在 Windows 系统下把 U 盘的文件格式从 NTFS 转换成 FAT32 的病毒么,NTFS 还是设置了根目录只读权限的那种。

    观察到的具体现象是:
    U 盘在某次插入实验室电脑( Win7 )拷课件之后,再插笔记本上就被 MSE 报毒了。病毒把根目录设为只读权限的 NTFS 无损转成了 FAT32,再把 AutoRun.inf ,SafeDrvse1.exe 写入 U 盘根目录……这样就完全绕过 NTFS 的权限设置了。
    8 条回复    2017-07-09 15:54:20 +08:00
    choury
        1
    choury  
       2017-07-09 03:15:59 +08:00 via Android
    复制出来,格式化,复制回去……
    GoBeyond
        2
    GoBeyond  
       2017-07-09 08:23:23 +08:00 via Android
    fat32 无损转 ntfs 好像可以,但是倒过来还真不知道。。
    cchange
        3
    cchange  
       2017-07-09 08:24:52 +08:00 via iPhone
    真牛逼 复制文件过程中还能转换磁盘格式
    954880786
        4
    954880786  
       2017-07-09 09:43:01 +08:00 via iPhone
    fat32 是可以转 ntfs
    Betacoefficient
        5
    Betacoefficient  
       2017-07-09 11:26:26 +08:00
    md,这种操作我要会了,我还来 v2 干嘛。
    iyangyuan
        6
    iyangyuan  
       2017-07-09 11:57:16 +08:00
    还有这种操作,楼主确认没带错 U 盘?
    ho121
        7
    ho121  
       2017-07-09 12:31:28 +08:00 via Android
    还有这种操作,楼主确认没带错 U 盘?
    hyxxsfwy
        8
    hyxxsfwy  
    OP
       2017-07-09 15:54:20 +08:00
    @choury 有道理,应该是这种操作。先前之所以认为是被转了格式,是因为看见变成 FAT32 格式后 U 盘里还保留着 System Volume Information 文件夹。我一直以为这个文件夹是 NTFS 特有的,今天搜了下,才知道这个文件夹是 Windows 在需要时就会自己添加的,与文件系统格式无关,误会了。

    把病毒文件从 MSE 的隔离区还原出来,发现这毒真是有点年头了。扫描详情:
    https://www.virustotal.com/zh-cn/file/a3407c996ba9b739e948092fe4b3f3cd5f20d147cbf90b648c7a8862ea490bc1/analysis/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1038 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:03 · PVG 06:03 · LAX 14:03 · JFK 17:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.