网络安全教程：查杀“文件夹模仿者”病毒

核心提示：如果你发现闪存文件夹里面的文件突然“失踪”，杀毒后连文件夹也消失了，网络安全教程：查杀“文件夹模仿者”病毒，你会想到是病毒隐藏了正常的文件夹吗?它就是“文件夹模仿者”病毒，病毒名称：文件夹模仿者病毒类型：下载者病毒病毒目的：伪造文件夹、下载病毒病毒原理：“文件夹模仿者”病毒通过闪存进入系统后，启用“关闭自动播放”策略即

如果你发现闪存文件夹里面的文件突然“失踪”，杀毒后连文件夹也消失了，你会想到是病毒隐藏了正常的文件夹吗?它就是“文件夹模仿者”病毒。

病毒名称：文件夹模仿者
　　病毒类型：下载者病毒
　　病毒目的：伪造文件夹、下载病毒

病毒原理：“文件夹模仿者”病毒通过闪存进入系统后，会在系统的system32目录中生成一个图标为文件夹的病毒文件regsvr.exe，同时创建一个28463文件夹并生成病毒文件svchost.exe。

病毒会扫描闪存的根目录，将根目录中的所有文件夹名称记录下来。然后在相同的位置创建名称一模一样的文件夹(含有病毒文件)，再将原来的文件夹内容隐藏。有的病毒变种会和原文件夹进行关联，当用户运行含病毒的文件夹时，就会自动跳转到原文件夹目录，这样用户在不知不觉中运行了病毒。

病毒还会将自身添加到注册表的Run启动项中，并修改系统程序explorer.exe的启动项，从而达到病毒可以随机启动的目的。最后病毒会连接到指定的网址，下载其他的病毒到系统中运行。

闪存助病毒传播

文件夹模仿者病毒传播的途径有三条。第一条，依靠闪存传播，这条途径是主要的。当带毒的闪存插入电脑后，autorun.inf文件里面的自动运行代码会激活病毒。第二条，该病毒的部分变种还会利用其他下载者病毒的渠道传播。下载者病毒经常串通一气。第三条，网页挂马，这条途径只有极少该病毒变种会用，主要是挂在娱乐网站上，例如曾经挂在周杰伦个人网站上。

　　正常的文件夹被隐藏

中了这种病毒，最大的症状就是闪存根目录下正常的文件夹被隐藏了，用户进入的是伪造的相关文件夹。我就中过这种病毒，插入闪存后发现里面的学习文件夹有异常，进的时候卡了一下，进去后发现里面没有任何文件。

当时吓了一大跳，学习文件夹里面有我的毕业论文。为什么学习文件夹里面的文件会无缘无故地消失?难道以前的心血就要付之东流?我运行了闪存里面的其他文件夹，发现结果跟学习文件夹的情况一样，于是我怀疑中了病毒。费了九牛二虎之力，终于清除了病毒。

病毒是清除了，可闪存根目录下所有文件夹都没有了!我的论文、我的音乐……后来，我无意中查看“文件夹选项”时，发现了被隐藏的正常文件夹(图1)。由于一般电脑设置了不显示隐藏文件和不显示文件的后缀名，在这种状态下就很容易被病毒蒙蔽、戏弄。

剿杀文件夹模仿者

第一步：运行进程管理工具Wsyscheck，选择进程列表中的病毒进程regsvr.exe(图2)和svchost.exe，点击右键选择“结束选择的进程”即可。svchost.exe是用红色标明的，很好辨认。

第二步：点击Wsyscheck中的“安全检查→活动文件”，通过鼠标配合Ctrl键选择病毒的启动项regsvr.exe、svchost.exe和explorer.exe regsvr.exe，然后点击右键选择“修复所选项”即可(图3)。

第三步：点击Wsyscheck中的“文件管理”标签，在系统的system32目录中找到病毒文件regsvr.exe以及28463文件夹中的svchost.exe，点击右键选择“直接删除”命令(图4)，然后进入闪存根目录里面，选择所有伪装成文件夹的病毒文件，点击右键选择“直接删除”命令。

第四步：病毒清除了，现在要堵上病毒通过闪存进入电脑的通道。在“运行”中输入“gpedit.msc”，在组策略中点击“计算机配置→管理模板→系统”，启用“关闭自动播放”策略即可。此外，上网时最好还用一些能拦截网页木马的安全辅助工具。