shixinyu's Blog

1、右击，选择“新建”，选择“文件TXT”来新建一个文本文件（只要能新建一个文本文件，方法随便了）；
2、在新建的文本文件正文中键入“.LOG”（不包含双引号＆字母必须大写），保存，文件名也是随便，但不得更改文件扩展名；
3、现在再打开这个文本文件，看到了什么？

对了，是当前日期和时间。

这个有趣的小技巧可以用来干什么？写日记？就由你来自己想想了。

注：这是Windows自带的Notepad.exe的小技巧，也算是彩蛋吧，所以使用其它的文本编辑器无效。

其实这个技巧在微软KB文档中有记录的：
http://support.microsoft.com/kb/260563/en-us

标签： Notepad, Tip

关键字词： wincfgs.exe autorun.exe KB20060111.exe TrojanSpy.USBSpy.a Worm.USBSpy.aj.42868 Trojan.Spy.UsbSpy.a Worm/Delf.AJ.1 Trojan.Agent.AAE Worm.Win32.Delf.aj

由于成功获取wincfgs.exe样本文件，可以准确分析此样本行为，在此谢谢Zhengxin朋友提供样本。

实际情况和《开机弹出无标题的记事本》一文分析的那样差不多，只是有些细节需要说明一下。

此样本有如下行为：

【创建注册表项】
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
修改其下的名为Load注册表键的键值内容为“C:\windows\system32\wincfgs.exe”

【创建文件】
C:\WINDOWS\system32\wincfgs.exe（注释：和在移动存储设备中的autorun.exe是同一个文件）
C:\WINDOWS\KB20060111.exe（注释：纯粹是一个记事本程序）

【写入移动存储设备】
在移动存储设备中生成autorun.inf，其中的内容为
----------------------------------------------------
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe

----------------------------------------------------
并且在移动存储设备中生成名为RECYCLER的文件夹，在其下再生成名为RECYCLER的文件夹，在这个文件夹下生成desktop.ini文件，内容如下
----------------------------------------------------
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
----------------------------------------------------
这个desktop.ini将第二个RECYCLER文件夹伪装成回收站，在第二个RECYCLER文件夹中便存储着autorun.exe文件。

正是当接入移动存储设备后autorun.inf文件激活autorun.exe文件以至于中毒。

前文猜测这仅仅是一个Joke程序，但由于行为特点，被众多安全厂商定义为Worm（蠕虫病毒）。

此病毒的解决方法：
1、修改注册表
a.运行“regedit”启动注册表编辑器；
b.清空注册表键值内容
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下的Load注册表键里的键值内容。（请不要将Load注册表键一并删除）

2、删除文件
C:\WINDOWS\system32\wincfgs.exe
C:\WINDOWS\KB20060111.exe

清理被感染的移动存储设备的方法：
删除移动存储设备下的autorun.inf文件，删除移动存储设备下的RECYCLER文件夹。
autorun.inf和RECYCLER文件夹均被隐藏，请先设置显示所有文件和文件夹选项才可以看到并删除。

国产三大（江民KV、瑞星、金山毒霸）均可查杀此蠕虫病毒/USB间谍，国外的Antivir、BitDefender、Dr.Web（驱逐舰）、卡巴斯基等均可查杀，使用这些安全软件的用户可以查杀并防御。

标签： Notepad, 病毒, 记事本

关键字词：无标题的记事本 开机弹出记事本 wincfgs.exe KB20060111.exe

近日在HelpOnline论坛中碰到如此案例，某用户反馈在接入自己的闪盘的计算机都会出现开机弹出无标题的记事本，很是烦人。

由于该用户提交样本时没有提交母体文件Wincfgs.exe，不能准确分析。只有分情况来讨论了。
由于这种情况都是在使用了诸如闪盘的移动存储的计算机出现的，所以导致根源应该在闪盘上所存储的文件。

1、蠕虫病毒的可能性：
这个闪盘可能被感染有蠕虫病毒，在接入别的计算机上便会使得该计算机出现这种开机弹出无标题的记事本的情况，不过蠕虫病毒至少需要激活，也就是执行一下这个蠕虫病毒。但仅仅从症状来看又没有什么危害，应该不至于称作蠕虫病毒，所以暂时定为Joke程序

2、autorun.ini的小把戏：
在这个闪盘中存储有autorun.ini，也就是上面提到的可以用于激活程序的原因。如果autorun.ini中指定了程序，那么便会在双击打开闪盘的时候就激活了这个Joke程序。

当激活了这个Joke程序应该会有如下行为：
修改注册表项：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的名为Load的注册表键为：
C:\windows\system32\wincfgs.exe

修改%SystemRoot%\Notepad.exe文件的文件名为KB20060111.exe（或其它文件名），或者只是复制了一份Notepad.exe文件并命名为KB20060111.exe（或其它文件名）。

开机弹出的记事本便是这个KB20060111.exe文件了，诱发这个KB20060111.exe的启动可能不是常规启动项，而是wincfgs.exe这个文件启动（呼叫）KB20060111.exe文件的。

就是说KB20060111.exe这个文件并非病毒或者Joke程序本身，其实KB20060111.exe就是一个记事本程序（这也就是为什么 KB20060111.exe文件的图标也是一个记事本程序的图标的缘故）。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备 可能会再次传染这个移动存储设备。

那么解决办法就出来了：
1、修改注册表
a.运行“regedit”启动注册表编辑器；
b.分别删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load注册表键里的键值内容。
不放心的话可以搜索“wincfgs.exe”的注册表键并删除之
由于没有得到wincfgs.exe样本文件，所以无法准确判断有关注册表项，但是可以直接使用Hijackthis修复类似这个项目：
F3 - REG:win.ini: load=C:\windows\system32\wincfgs.exe

2、删除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe

上述是解决被感染的计算机的解决办法，下面还要处理一下有问题的移动存储设备：
打开移动存储设备下的autorun.ini文件，查看其中指定的文件是哪个并且删除这个文件。
删除移动存储设备下的autorun.ini文件，这个文件一般是隐藏的，所以需要设置文件夹选项为显示所有文件和文件夹选项的。

标签： Notepad, 病毒, 记事本

关键字词：开机弹出记事本 desktop.ini 开机弹出desktop.ini记事本

在HelpOnline论坛曾经碰到如此案例：
开机弹出标题为desktop.ini的记事本，并且正文内容如下：
----------------------------------------------------------------
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
----------------------------------------------------------------

遇到此故障的用户所提交的Hijackthis扫描日志均未发现可疑启动项，但是使用江民的木马一扫光（此组件在KV2005/KV2006中均包含）可以发现有关启动项，如图所示：

所以解决办法为删除下面位置所含有的desktop.ini文件：
%SystemDrive%\Documents and Settings\All Users\「开始」菜单\程序\启动
%SystemDrive%\Documents and Settings\All Users\「开始」菜单\程序\
%SystemDrive%\Documents and Settings\All Users\「开始」菜单
%SystemDrive%\Documents and Settings\[CurrentUser]\「开始」菜单\程序\启动
%SystemDrive%\Documents and Settings\[CurrentUser]\「开始」菜单\程序\
%SystemDrive%\Documents and Settings\[CurrentUser]\「开始」菜单

*[CurrentUser]=当前用户

一篇微软的帮助与支持文档也证实了上述方法的准确性：
http://support.microsoft.com/kb/330132/zh-cn

标签： Notepad, 记事本