今天在使用Facebook的時候看見了朋友的動態留言上有不尋常的連結，好齊心驅使下我就觀察看看有什麼行為。

首先它的連結是一串縮址,點擊之後它會到向另一個頁面，並且自動下載一個檔案，但這只是下載而已，要去執行它病毒才會有作用。

下載下來的檔名是 YouNaked.JPG.exe，檔案大小 160KB，初步用 Avira Free Antivirus 去掃描並沒有結果，接下來用whois去查詢IP發現來自於土耳其。

inetnum:        185.4.227.0 - 185.4.227.255
netname:        SAYFANET
descr:          Istanbul DC Customer
country:        TR
admin-c:        KSM20-RIPE
tech-c:         KSM20-RIPE
status:         ASSIGNED PA
mnt-by:         ER101-MNT
source:         RIPE # Filtered

person:         Kiralik Sunucu Musterisi
address:        Sayfa.NET Datacenter
address:        Metrocity AVM Levent Istanbul
address:        detayli musteri bilgisi ogrenmek icin email gonderiniz
address:        please email us for customer details
address:        TURKEY
phone:          +905327235263
fax-no:         +905327235263
nic-hdl:        KSM20-RIPE
mnt-by:         ISTANBULDC-MNT
abuse-mailbox:  registry@istanbuldc.com
source:         RIPE # Filtered

接著觀察到它的副檔名，在一般的使用上 Windows 會隱藏副檔名，這時候使用者看見的就是 YouNaked.JPG，它會誘使你認為它是一張圖片，另外加上他的檔名讓你充滿好奇心，然後就點中招。

行為

接下來做個簡單的行為分析，當程式執行後YouNaked.JPG.exe會自我刪除，然後就會在你朋友的動態訊息以及聊天室中留下同樣的訊息，到這邊還沒結束。

在剛剛的過程中它會在你的登錄檔中新增一條紀錄，接下來啟動msconfig，在中你會看見其中一條預設啟動名為 MSConfig 而啟動的路徑是C:\Users\\{YourName}\ksum.exe，是這是一個隱藏檔，這意味著只要你重新開機它就會自動執行。

試著去刪除它會發現它又自動再生了，不管次都是一樣。所以這時後去觀察資源監視器中的磁碟，會發現有個影像在操作 ksum.exe 但是名稱都會不同，我有見過explorer.exe以及SearchProtocolHost.exe這2個程式，接著我去看這兩隻程式並沒有發現異常，所以它有可能可以偽裝為別的程式。

清除

最後如何清理病毒，首先重新開機按 F8 進入安全模式，然後開啟 regedit 搜尋並刪除 MSConfig 的登錄檔紀錄，然後刪除使用者目錄C:\Users\\{YourName}\底下的 ksum.exe，接著重新開機就好了。