前几天就使用脚本处理过这种病毒(用户的文件系统为FAT32),这种病毒的特征是在根目录第2簇的第一个SEC中插入"USB"字样的乱码(只占用一个SEC),由于是插入所以原来在第2簇第一个SEC的根目录信息就全部下移了一个SEC,这个时候用软件扫描时是由于发现不了目录所以扫描不到数据;对于二级目录该病毒也是如法炮制,这种情况下由于病毒所做的操作是比较有规律的,所以使用脚本可以很快的解决!
昨天又遇一个文件系统为NTFS并中了此病毒的用户,不过相对于FAT32,此病毒对于NTFS的破坏显的没有规律,它的做法是更改MFT,在MFT表链中随机性的插入大小为一个SEC的病毒主体,并且还伴随对某些MFT的破坏。这种情况下由于没有规律而言,所以使用脚本解决起来并不太顺利,中间所须的时间也比较长,最重要的是它对某些MFT做了破坏操作,造成了表链的不连续性,这样使用脚本判断就麻烦了!
个人估计从FAT32病毒只做插入的操作来看,此病毒并不会破坏数据区和目录区,而对于NTFS文件系统却有破坏的操作,这就说明1、病毒程序的BUG 2、病毒新的变种,第1种的可能性要更大一些。
真是让人头疼的一个病毒!!!