1、有一种U盘病毒感染计算机后,并不是破坏性地全盘感染应用程序,而是使文件夹全部变成“.exe”可执行程序,这就是“文件夹.EXE”病毒!“文件夹.EXE”病毒名称:“文件夹.EXE”病毒;病毒别称:Worm.Win32.AutoRun.soq;病毒类型:蠕虫;病毒长度:1,415,094 字节;病毒 MD5:afb08df3fef57788d839bc02f14b2159危害等级:感染系统:Windows 系统。开发工具:E语言“文件夹.EXE”病毒行为分析:“文件夹.EXE”病毒主要通过可移动磁盘传播。就拿U盘为例,一个干净的U盘或者未感染的U盘插入已被“文件夹.EXE”病毒感染的计算机主机U
2、SB接口上以后,病毒会在U盘根目录下生成病毒脚本安装文件“autorun.inf”和伪装文件夹的病毒程序“Recycle.exe”、“.exe”、“.exe”、“.exe”。很显然,“文件夹.EXE”的传播程序“Recycle.exe”的文件名称是在模仿回收站的文件夹“Recycler”,两者名称上就相差一个字母“r”。回收站的文件夹“RECYCLER”只有在NTFS格式文件系统的磁盘分区根目录下才会出现,该文件夹内存储着各个用户的回收站。如图,这是打开“文件夹.EXE”的配置文件“autorun.inf”显示的文件命令,意思是访问该驱动器磁盘分区后自动执行病毒程序“Recycle.exe”,
3、也就是说“Recycle.exe”是“文件夹.EXE”的病毒样本。被“文件夹.EXE”病毒感染的U盘再插入到正常的计算机主机USB接口上以后,只要受害者一打开访问U盘,便会感染到计算机上。由于该病毒变种较多,所以绕过了许多杀毒软件的眼睛。首先会获取要感染计算机的用户临时文件目录,获取后会在这个用户的临时文件夹“C:Documents and SettingsAdministrator(受害者的用户名)Local SettingsTemp”目录下创建一个名称为“E_N4”的文件夹,并在其目录下释放9个病毒组件,分别是“cnvpe.fne”、“dp1.fne”、“eAPI.fne”、“HtmlVi
4、ew.fne”、“internet.fne”、“krnln.fnr”、“shell.fne”、“spec.fne”,这些扩展名为“.fne”文件均为“只读”、“系统”和“隐藏”的文件属性。文件夹“E_N4”是“E语言(即“易语言”)”程序运行时才会产生的临时文件夹,而后缀名为“.fne”的程序是“E语言”的支持库文件,不过是已经编译好的,也就是改了扩展名以后的动态链接库文件“.dll”,由此可以证明“文件夹.EXE”病毒是使用易语言编写的。然后会获取要感染计算机的系统目录,获取后会在“C:WINDOWSsystem32”系统目录下创建一个6位随机数字、字母组成的文件夹,文件夹的属性是“只读”、
5、“系统”和“隐藏”的文件属性,本次测试病毒创建的文件夹名称是“5A8DCC”。病毒成功创建文件夹“5A8DCC”之后,将释放在“C:Documents and SettingsAdministrator(受害者的用户名)Local SettingsTempE_N4”临时文件夹目录下的9个病毒组件复制到“C:WINDOWSsystem325A8DCC”目录下。 随后还会在“C:WINDOWSsystem32”系统目录下创建一个6位随机数字、字母组成的文件夹,文件夹的属性是“只读”、“系统”和“隐藏”的文件属性,本次测试病毒创建的文件夹名称是“ACF7EF”。再在该文件夹下面创建一个6位随机数字、
6、字母组成的病毒主体程序,本次测试病毒创建的病毒主体程序名称是“74BE16.EXE”,文件属性是“只读”、“系统”和“隐藏”的文件属性。如图,病毒路径:“C:WINDOWSsystem32ACF7EF74BE16.EXE”。之后给病毒主体程序“74BE16.EXE”创建一个随机启动项,在注册表“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”分支下创建一个与病毒主体程序“74BE16.EXE”名称相同的字符串值“74BE16”,数值数据指向病毒主体程序的路径位置“C:WINDOWSsystem32ACF7EF74BE16.
7、EXE”。再在“C:Documents and SettingsAdministrator(受害者的用户名)开始菜单程序启动”目录下创建一个指向病毒主体程序“74BE16.EXE”的快捷方式“74BE16.lnk”。这是“文件夹.EXE”病毒的另外一个启动项,也就是自启动项“开始菜单”-“所有程序(P)”-“启动”目录下随计算机启动被执行的。最后,病毒程序“74BE16.EXE”被执行到系统中去运行,例如通过DOS命令查看“shell.fne”是否被插入到进程被运行,在“命令提示符”的黑色窗口里面输入“TASKLIST /M shell.fne”可以查看到病毒模块“shell.fne”已被病毒
8、调入到病毒进程“74BE16.lnk”中去运行了。 “文件夹.EXE”病毒运行后,会检测是否存在可移动磁盘,如插有可移动磁盘并对其感染。另外还检查可移动磁盘分区根目录下的文件夹,然后复制这些文件夹的名称伪装创建一个与其同名的病毒程序,就连程序图标也是模仿文件夹的图标,然后将被模仿的那个文件夹属性设为“隐藏”。伪造文件夹的病毒程序大小与“文件夹.EXE”病毒样本的大小相同都是“1.34 MB”,而且文件属性均被病毒设置为“只读”和“系统”的文件属性。如果运行这些伪造文件夹的病毒程序就会重新释放病毒,同时也会打开被隐藏的真实原有文件夹,一般用户根本查觉不到病毒活动。如图,这是“文件夹.EXE”病毒
9、感染了我的手机内存卡。尤其是新安装的操作系统(这里指未修改过的盗版系统),“系统”和“隐藏”属性的文件和文件夹是不被显示的,而且已知文件类型的扩展名也是被隐藏的。这样,“文件夹.EXE”病毒伪装文件夹的病毒程序根本和文件夹无任何区别,再加上无意中打开这些“文件夹.EXE”病毒程序还会打开被隐藏的真实原有文件夹,所以电脑新手很容易被迷惑。病毒进程“74BE16.EXE”还会连接黑客服务器下载病毒相关程序,下载下来后运行它们。例如下载两个病毒程序到病毒文件夹“5A8DCC”的目录下,本次测试病毒下载的病毒程序名称分别是“PIAA4B2.EXE”和“ZD269.EXE”,文件属性是“只读”、“系统”
10、和“隐藏”的文件属性。 “文件夹.EXE”病毒还会每隔一段时间打开浏览器来访问某家网站做广告宣传,类似于“广告木马”。例如我在编写原创帖“【原创】“文件夹.EXE”病毒是如何将文件夹变成可执行程序的!”的时候就弹出了一个“钓鱼网站”:http:/ii.23ii.info/index?v=1300102184.56 且每隔一段时间收集一次受害者的隐私信息,就是受害者使用计算机的一切活动,类似于“间谍”程序。 “文件夹.EXE”病毒在“C:WINDOWSsystem32”系统目录下创建多个这样6位随机数字、字母组成的文件夹,文件属性均是“只读”、“系统”和“隐藏”的文件属性,里面包含着病毒程序、病
11、毒库文件、病毒配置文件。本文转于新手无毒链接:http:/ + Alt + Del”键调出“任务管理器”,结束病毒的两个进程“*.EXE”和“*.EXE”一般后缀名是“.EXE”大写的。病毒进程很容易被结束掉,看来这个病毒的自我保护能力几乎为“0”!由于大部分病毒程序都是“只读”、“系统”和“隐藏”的文件属性需要在控制面板的文件夹选项中关闭“隐藏受保护的操作系统文件”和开启“显示所有文件和文件夹”的功能才能看到它们。删除“C:WINDOWSsystem32”目录下所有“*”名称的文件夹。删除“C:Documents and SettingsAdministrator(你的用户名)开始菜单程序启
12、动”目录下所有“*.lnk”文件。开始菜单-运行 输入:“regedit.exe”,引号去掉。调出“注册表编辑器”,依次展开注册表“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”分支下找到名称是“*”的键值项删除。删除可移动磁盘根目录下的病毒程序,可以通过DOS命令清除。开始菜单-运行 输入:“cmd.exe”,引号去掉。例如你的可移动磁盘盘符是“H”就在“命令提示符”的黑色窗口里面输入如下DOS命令。H:DEL /F /A autorun.infDEL /F /A *.exe然后恢复每个目录下被病毒隐藏的原有文件夹,继
13、续在“命令提示符”的黑色窗口里面输入如下DOS命令。H:ATTRIB -R -S -H /S /D据一些求助者反馈,后期“文件夹.EXE”病毒变种还会破坏“显示所有文件和文件夹”的功能和全盘伪装创建“文件夹.exe”病毒程序。展开注册表“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL”分支右侧窗口找到名称为“CheckedValue”的DWORD值,将数值数据修改为“1”确定就行了。至于全盘删除病毒伪装创建的“文件夹.exe”病毒程序,同上述处理被感染的可移动磁盘的方法是一样,按照解决方法每个磁盘做一下就行了。
