Mixa.exe 惡意程式
» Bookmark on del.icio.us今天接到一位客戶的反應, 某部電腦開啟工作管理員、regedit 或某些特定的程式, Windows 會立刻登出, 回到登入的畫面.
經過檢查之後, 發現看起來是很平常的惡意程式, 在登錄檔 Run 新增一筆 Virus 的機碼 (有點納悶, 取這麼明顯的名稱, 是刻意想讓人看出來嗎?), 另外也改了 Userinit 的值.. 開機後會執行一個名為 Mixa 的處理程序. 另外, 也具有現在最流行的隨身碟病毒的特徵.
試了一下, 很簡單就可以刪除幾個相關的檔案, 完成之後重開機一次.. 結果, 悲慘的狀況發生了, Windows 無法登入! 一按登入之後, 很快就會再回到登入的畫面. 後來仔細檢查才發現, 原來這個惡意程式覆寫了 Userinit 的值, 而不是附加在原來值的後面. 所以一旦檔案被刪除之後, Windows 找不到該檔案, 就無法正常登入了.
所以, 可以想像到一個結果, 假設防毒軟體無法偵測此惡意程式, 造成電腦受到感染. 然而一旦防毒軟體更新此惡意程式的特徵碼資料庫, 下場恐怕是 Windows 沒辨法登入了.
如果已經感染此惡意程式, 而且 Windows 還能正常登入, 執行 Saber 可以解決. 如果不幸已經發生無法登入的情形, 只好用 Windows 光碟開機, 進入修復主控台來修正此問題.
惡意程式檔案的樣本在 這裡。