最近非常流行的一個病毒,將電腦或者U盤里的文件全部用快捷方式替換,真實文件被隱藏起來,下面我們就具體了解下此種病毒吧,做好預防與殺毒工作。
一、病毒名稱
病毒名稱:移動盤同名文件夾病毒;文件夾EXE病毒;同名文件夾EXE病毒
木馬名稱:Worm.Win32.AutoRun.soq
二、中毒特征
移動盤中毒后,移動盤中的所有文件夾被隱藏起來,病毒偽裝成文件夾,但露出了尾巴,也就是露出了它的擴展名exe,因為我見到的文件夾一般是沒有擴展名的,而且你可以往里面放東西的,所以,見到exe你應該想到它不是文件夾了,它是一個應用程序。系統中毒后,進程中會出現一兩個隨機數字和字母命名的進程,病毒文件被復制到系統根目錄和系統臨時文件夾以及自啟動和注冊表中。它們可以相互感染傳播,只要移動盤中毒了或者電腦中毒了,它們就會感染沒有中毒的一方。該病毒經過幾次變異,目前它在命名上和隱藏路徑上出現了新變化,阻止顯示隱藏文件,達到加強生存的能力,這個需要注意。
以下幾個是中毒后的典型特征:
1、移動盤中的文件夾帶exe
其實該帶exe的文件夾不是文件夾,而是可執行程序,它的圖標是文件夾,擴展名為.EXE,大小約為1.20M-1.50M,通常是1.44M。
2、進程中出現以數字和字母隨機命名的進程
舊版病毒通常以"XP"開頭,如XP-F84AA1B5.EXE。變異后是六位隨機命名,如96015E.exe。
3、自啟動出現兩個病毒快捷方式
自啟動中出現一個文件夾圖標或者沒有圖標的快捷方式,該快捷方式沒有名稱,或者名稱是空格,但空格通常占有一定位置這樣".lnk"。同時出現在啟動項中還有隨機命名的病毒快捷方式。
4、常見病毒主體
病毒主體被拷貝到系統根目錄和系統臨時文件夾中,病毒主體主要有以下幾個:
XP-*.EXE(隨機命名)
96015E.exe(隨機命名)
winvcreg.exe
og.dll
ul.dll
og.EDT
21c0.EDT
21c0.inf
69fe.inf
com.run
dp1.fne
eAPI.fne
internet.fne
krnln.fnr
RegEx.fnr
shell.fne
spec.fne
msdll.dll
5、移動盤中的文件夾被隱藏起來
可以通過顯示隱藏文件查看,但新變異病毒會阻止查看隱藏文件。
6、自動傳播
該病毒可以實現電腦和移動盤相互感染傳播,特別是在沒有禁用系統自動播放功能和沒有免疫autoruns的系統上,一插入中毒盤,病毒就會自動打開移動盤,即使經過免疫,雙擊該(帶EXE的文件夾)病毒,該病毒也會自動運行。
三、危害程度
目前尚不明確該毒的主要危害,據說可以自動下載木馬。它對系統的危害性不是很明顯,它的危害更多來自病毒自動傳播上給人們帶來的困擾、擔憂和恐懼。該病毒07、08年開始流行,當前泛濫於辦公電腦和個人電腦,新聞報道80%的辦公電腦和移動盤中過該毒。
四、殺毒方式
由於該病毒的危害性不是很明顯,許多殺毒軟件都當它是小兒科,根本不值一提,正是這種輕視的態度造成了該病毒的泛濫,困擾着人們的工作和生活。
1、殺毒工具:
目前據說瑞星已經將其列入查殺項目,不清楚其它殺毒軟件是否有此計划。
據我所知,當前能夠有效查殺該病毒的有USBCleaner。
360安全衛士能夠檢測出來,但不一定能夠完整清理。檢測力強,殺毒力軟,這也是360一直被人詬病的地方。
其它的如木馬克星、超級巡警等專門查殺木馬和專門查殺優盤的殺毒軟件道理上應該都可以查殺該病毒。
當然,殺毒軟件每日都在更新,今天說不能殺不代表明天不能殺。
2、病毒專殺:
網上的專殺很多,大家可以嘗試,一般都能夠手到病除,但要注意及時更新。推薦使用文件夾圖標專殺工具。
3、手動專殺:
該病毒還是比較容易查殺的,只要找到該病毒的藏身之所你就可以將其清除。在查殺的時候,可以使用批處理來協助查殺,方法如下:
[1]將以下代碼復制到記事本中,另存為"專殺同名文件夾病毒.bat"運行即可,注意格式為【.bat】。
1 @echo off 2 title 移動盤同名文件夾病毒專殺工具(升級改進版2009.12.1) 3 copy %0%SYSTEMDRIVE%>nul 4 COLOR3C 5 echo 開始殺毒,正在檢查…… 6 for /f%%ain('tasklist')doecho%%a|findstr"[0-9]"|findstr/i/v"360tray.exe">>psyf.txt 7 for /f%%ain(psyf.txt)docls&echo發現可疑進程:%%a&taskkill/f/im%%a 8 taskkill /f /im XP* 9 taskkill explorer 10 taskkill/f/imexplorer.exe 11 echo清除病毒…… 12 for/f%%ain(psyf.txt)do(wmicprocesswherename="%%a"getExecutablePath|find/i".exe")>>fpath.txt 13 for/f%%ain(fpath.txt)doifexist%%a(attrib-h-r-s-a%%)&(DEL/F/Q%%a) 14 for/f"delims="%%ain(psyf.txt)do( 15 for/r%SYSTEMROOT%\system32%%iin(%%a)do( 16 ifexist%%iecho%%i>nul 17 ifexist%%i(attrib-h-r-s%%i) 18 (DEL/F/Q%%i) 19 ) 20 ) 21 for/r%SYSTEMROOT%\system32%%iin(XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll)do( 22 ifexist%%i(attrib-h-r-s%%i)&(DEL/F/Q/A%%i) 23 )>nul 24 for/r%temp%%%iin(XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll)do( 25 ifexist%%i(attrib-h-r-s%%i)&(DEL/F/Q/A%%i) 26 )>nul 27 attrib-h-r-s%TEMP%\E_4 28 rd%TEMP%\E_4\ 29 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe" 30 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe" 31 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe" 32 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe" 33 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe" 34 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe" 35 echo清除病毒自啟動…… 36 ::是否需要修改RUN中一個無名文件夾的二進制數值? 37 attrib-r-h-s-a"%USERPROFILE%\「開始」菜單\程序\啟動\.lnk" 38 del"%USERPROFILE%\「開始」菜單\程序\啟動\.lnk"/q/f 39 for/f"delims=."%%ain(psyf.txt)do(regdelete"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/v%%a/f) 40 Del"%ALLUSERSPROFILE%\「開始」菜單\程序\啟動\*.*"/q/f 41 Del"%USERPROFILE%\「開始」菜單\程序\啟動\*.*"/q/f 42 Del"C:\Docume~1\DefaultUser\「開始」菜單\程序\啟動\*.*"/q/f 43 delpsyf.txt,fpath.txt 44 start%SYSTEMROOT%\explorer.exe 45 cls&echo. 46 echo★以下清理移動盤中的EXE病毒,請插入移動盤繼續! 47 echo. 48 echo◇移動盤中與文件夾名字相同的EXE程序將被清理。 49 echo◇移動盤中的EXE程序大小小於2M的將被清理。 50 echo◇請做好備份后繼續。 51 echo. 52 echo.&pause 53 cls&echo. 54 for/f"skip=1"%%ain('wmiclogicaldiskwhere"drivetype='2'"getdeviceid')do( 55 setlocalEnableDelayedexpansion 56 dir%%a>nul&&IFERRORLEVEL0settvd=%%a 57 )>nul 58 echo. 59 echo移動盤www.2cto.com是:!tvd! 60 echo. 61 echo★正在恢復顯示移動盤中的文件,請稍候……(文件過多可能會影響速度。) 62 echo. 63 for/f%%iin("!tvd!")doattrib%%~di\*.*-s-r-h-a/d/s 64 setlocalEnableDelayedexpansion 65 for/r%tvd%%%ein(.)do( 66 setw2=%%~fe 67 for/r%tvd%%%iin(*.exe)do( 68 setw1=%%~dpni 69 if!w1!==!w2!del/f/a/q%%i 70 ) 71 ) 72 for/r%tvd%%%iin(*.exe)do( 73 if%%~zilss2000000(ifexist%%idel/f/q/a%%i) 74 ) 75 del/a/f/q%tvd%\Autorun.inf.exe 76 del/a/f/q%tvd%\Autorun.exe 77 del/a/f/q%tvd%\RECYCLER.exe 78 del/a/f/qRecycled.exe 79 del/a/f/q%tvd%\Notepad.exe 80 del/a/f/q%tvd%\autorun.inf 81 echo移動盤同名文件夾病毒專殺工具>%tvd%\autorun.inf 82 attrib+a+h+r+s%tvd%\autorun.inf 83 copy%0%tvd%>nul 84 cls&echo. 85 echo殺毒完畢! 86 echo. 87 pause
五、安全防護
安全防護意識低是導致該病毒泛濫的一大原因。請檢查自己的優盤、MP3、MP4、內存卡、手機等等是否中了該病毒,中毒了請注意查殺。
特別是那種公用優盤或者公用電腦,一定要准備一個USB專殺工具,凡是插入的盤都要經過查殺再運行,這樣才能有效的阻止病毒的傳播。
同時,禁用系統的自動播放功能和免疫Autoruns能夠有效的預防病毒的自動運行和傳播。最近兩年移動盤病毒泛濫的一個主要原因就是系統存在兩個漏洞,autoruns和desktop。請檢查你的電腦是否也存在該漏洞。