[Virus] movemenoreg.vbs 一個快速竄起的隨身碟病毒

最近開始在學校流行的隨身碟病毒 movemenoreg.vbs 和之前的 Kavo 類似，若當發現隨身碟檔案遺失但容量仍在且隨身碟內多了一個名稱為隨身碟名稱的捷徑，請務必注意，你的隨身碟已經變成帶原者了！

圖 1 病毒徵狀

解決方式

解決方式可以使用 USBVirusKiller 或按照以下步驟來進行清理動作。


病毒大綱

病毒的主體為 WindowsServices 中的三個 vbs 檔案，分別為：

• helper.vbs
• installer.vbs
• movemenoreg.vbs

而在隨身碟中的捷徑為一批次：

%COMSPEC% /C .\WindowsServices\movemenoreg.vbs

整體功能主要是將 WindowsServices 中的三個檔案複製到 %AppData%\WindowsServices 資料夾中，使電腦成為帶原者。

而成為帶原者的電腦，將會利用腳本注入病毒至連接的卸除式裝置（Removable Device）中。而被感染的卸除式裝置再感染其他電腦，因而災情擴大。對於病毒詳細的操作原理已有文章詳述，故筆者不再贅述。

刪除病毒：電腦端

若要清理此病毒，首先先叫出工作管理員，並到開機標籤中（若是 Windows 7 以下（含）用戶請執行 msconfig），會發現有一個啟動項目名為 helper.vbs，將他關閉。

圖 2 工作管理員

緊接著，叫出執行視窗（Windows + R）並執行 %AppData% 以打開資料夾，我們先從資料夾視窗上方的「檢視」中核取「隱藏的項目」，就會發現在資料夾中多了一個 WindowsServices 的資料夾。

圖 3 核取隱藏的項目

圖 4 WindowsServices 資料夾

進入資料夾，會發現三個檔案，即為在文章開頭中所提到的檔案，請全數刪除，可能需要注意的是請不要直接刪除資料夾，因為在此時資料夾是無法被刪除的。刪除完畢後請重新開機，之後進入 %AppData% 資料夾即可刪除 WindowsServices 資料夾。

若是要刪除開機自動執行的捷徑檔（因病毒主體已被刪除，故此捷徑檔已無作用，刪除僅為個人需求），可至 %AppData%\Microsoft\Windows\Start Menu\Programs\Startup 中（可利用執行視窗執行 Shell:Startup 叫出）刪除。需要注意的是，雖然病毒腳本已被刪除，但其仍在 wscript.exe 執行中，因此請在刪除病毒後重新開機、或是將 wscript.exe 處理程序結束後再刪除捷徑，否則捷徑即便被刪除也會被腳本再產出。

若要結束 wscript.exe 處理程序，請先叫出命令提示字元（叫出執行視窗後執行 cmd），並鍵入以下命令即可：

taskkill /f /im wscript.exe /t

刪除病毒：隨身碟端

隨身碟端要刪除病毒相當簡單，一樣先從資料夾視窗上方的「檢視」中核取「隱藏的項目」，會發現隨身碟出現兩個隱藏資料夾，分別名為「_」與「WindowsServices」，_ 內存放的即為隨身碟中原有的資料，而 WindowsServices 與捷徑為病毒主體，請刪除。

圖 5 隨身碟

病毒樣本

若是對此支隨身碟病毒有興趣的朋友，這裡提供病毒樣本壓縮檔（USBVirus_movemenoreg.zip）。