网络安全教程:查杀“文件夹模仿者”病毒
2009-06-30 02:12:00 来源:WEB开发网如果你发现闪存文件夹里面的文件突然“失踪”,杀毒后连文件夹也消失了,你会想到是病毒隐藏了正常的文件夹吗?它就是“文件夹模仿者”病毒。
病毒名称:文件夹模仿者
病毒类型:下载者病毒
病毒目的:伪造文件夹、下载病毒
病毒原理:“文件夹模仿者”病毒通过闪存进入系统后,会在系统的system32目录中生成一个图标为文件夹的病毒文件regsvr.exe,同时创建一个28463文件夹并生成病毒文件svchost.exe。
病毒会扫描闪存的根目录,将根目录中的所有文件夹名称记录下来。然后在相同的位置创建名称一模一样的文件夹(含有病毒文件),再将原来的文件夹内容隐藏。有的病毒变种会和原文件夹进行关联,当用户运行含病毒的文件夹时,就会自动跳转到原文件夹目录,这样用户在不知不觉中运行了病毒。
病毒还会将自身添加到注册表的Run启动项中,并修改系统程序explorer.exe的启动项,从而达到病毒可以随机启动的目的。最后病毒会连接到指定的网址,下载其他的病毒到系统中运行。
闪存助病毒传播
文件夹模仿者病毒传播的途径有三条。第一条,依靠闪存传播,这条途径是主要的。当带毒的闪存插入电脑后,autorun.inf文件里面的自动运行代码会激活病毒。第二条,该病毒的部分变种还会利用其他下载者病毒的渠道传播。下载者病毒经常串通一气。第三条,网页挂马,这条途径只有极少该病毒变种会用,主要是挂在娱乐网站上,例如曾经挂在周杰伦个人网站上。
正常的文件夹被隐藏
中了这种病毒,最大的症状就是闪存根目录下正常的文件夹被隐藏了,用户进入的是伪造的相关文件夹。我就中过这种病毒,插入闪存后发现里面的学习文件夹有异常,进的时候卡了一下,进去后发现里面没有任何文件。
当时吓了一大跳,学习文件夹里面有我的毕业论文。为什么学习文件夹里面的文件会无缘无故地消失?难道以前的心血就要付之东流?我运行了闪存里面的其他文件夹,发现结果跟学习文件夹的情况一样,于是我怀疑中了病毒。费了九牛二虎之力,终于清除了病毒。
病毒是清除了,可闪存根目录下所有文件夹都没有了!我的论文、我的音乐……后来,我无意中查看“文件夹选项”时,发现了被隐藏的正常文件夹(图1)。由于一般电脑设置了不显示隐藏文件和不显示文件的后缀名,在这种状态下就很容易被病毒蒙蔽、戏弄。
剿杀文件夹模仿者
第一步:运行进程管理工具Wsyscheck,选择进程列表中的病毒进程regsvr.exe(图2)和svchost.exe,点击右键选择“结束选择的进程”即可。svchost.exe是用红色标明的,很好辨认。
第二步:点击Wsyscheck中的“安全检查→活动文件”,通过鼠标配合Ctrl键选择病毒的启动项regsvr.exe、svchost.exe和explorer.exe regsvr.exe,然后点击右键选择“修复所选项”即可(图3)。
第三步:点击Wsyscheck中的“文件管理”标签,在系统的system32目录中找到病毒文件regsvr.exe以及28463文件夹中的svchost.exe,点击右键选择“直接删除”命令(图4),然后进入闪存根目录里面,选择所有伪装成文件夹的病毒文件,点击右键选择“直接删除”命令。
第四步:病毒清除了,现在要堵上病毒通过闪存进入电脑的通道。在“运行”中输入“gpedit.msc”,在组策略中点击“计算机配置→管理模板→系统”,启用“关闭自动播放”策略即可。此外,上网时最好还用一些能拦截网页木马的安全辅助工具。
赞助商链接