有一种U盘病毒感染计算机后,并不是破坏性地全盘感染应用程序,而是使文件夹全部变成“.exe”可执行程序,这就是“文件夹.EXE”病毒!
运行 命令『“文件夹.EXE”』
病毒名称:“文件夹.EXE”病毒;
病毒别称:Worm.Win32.AutoRun.soq;
病毒类型:蠕虫;
病毒长度:1,415,094 字节;
病毒 MD5:afb08df3fef57788d839bc02f14b2159
危害等级:★★★
感染系统:Windows 系统。
开发工具:《E语言》
“文件夹.EXE”病毒行为分析:
“文件夹.EXE”病毒主要通过可移动磁盘传播。就拿U盘为例,一个干净的U盘或者未感染的U盘插入已被“文件夹.EXE”病毒感染的计算机主机USB接口上以后,病毒会在U盘根目录下生成病毒脚本安装文件“autorun.inf”和伪装文件夹的病毒程序“”、“ .exe”、“ .exe”、“ .exe”。
很显然,“文件夹.EXE”的传播程序“”的文件名称是在模仿回收站的文件夹“Recycler”,两者名称上就相差一个字母“r”。回收站的文件夹“RECYCLER”只有在NTFS格式文件系统的磁盘分区根目录下才会出现,该文件夹内存储着各个用户的回收站。
如图,这是打开“文件夹.EXE”的配置文件“autorun.inf”显示的文件命令,意思是访问该驱动器磁盘分区后自动执行病毒程序“”,也就是说“”是“文件夹.EXE”的病毒样本。
被“文件夹.EXE”病毒感染的U盘再插入到正常的计算机主机USB接口上以后,只要受害者一打开访问U盘,便会感染到计算机上。由于该病毒变种较多,所以绕过了许多杀毒软件的眼睛。
首先会获取要感染计算机的用户临时文件目录,获取后会在这个用户的临时文件夹“C:\Documents and Settings\Administrator(受害者的用户名)\Local Settings\Temp”目录下创建一个名称为“E_N4”的文件夹,并在其目录下释放9个病毒组件,分别是“cnvpe.fne”、“dp1.fne”、“eAPI.fne”、“HtmlView.fne”、“internet.fne”、“krnln.fnr”、“shell.fne”、“spec.fne”,这些扩展名为“.fne”文件均为“只读”、“系统”和“隐藏”的文件属性。
文件夹“E_N4”是“E语言(即“易语言”)”程序运行时才会产生的临时文件夹,而后缀名为“.fne”的程序是“E语言”的支持库文件,不过是已经编译好的,也就是改了扩展名以后的动态链接库文件“.dll”,由此可以证明“文件夹.EXE”病毒是使用《易语言》编写的。
然后会获取要感染计算机的系统目录,获取后会在“C:\WINDOWS\system32”系统目录下创建一个6位随机数字、字母组成的文件夹,文件夹的属性是“只读”、“系统”和“隐藏”的文件属性,本次测试病毒创建的文件夹名称是“5A8DCC”。病毒成功创建文件夹“5A8DCC”之后,将释放在“C:\Documents and Settings\Administrator(受害者的用户名)\Local Settings\Temp\E_N4”临时文件夹目录下的9个病毒组件复制到“C:\WINDOWS\system32\5A8DCC”目录下。
随后还会在“C:\WINDOWS\system32”系统目录下创建一个6位随机数字、字母组成的文件夹,文件夹的属性是“只读”、“系统”和“隐藏”的文件属性,本次测试病毒创建的文件夹名称是“ACF7EF”。再在该文件夹下面创建一个6位随机数字、字母组成的病毒主体程序,本次测试病毒创建的病毒主体程序名称是“74BE16.EXE”,文件属性是“只读”、“系统”和“隐藏”的文件属性。如图,病毒路径:“C:\WINDOWS\system32\ACF7EF\74BE16.EXE”。
之后给病毒主体程序“74BE16.EXE”创建一个随机启动项,在注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”分支下创建一个与病毒主体程序“74BE16.EXE”名称相同的字符串值“74BE16”,数值数据指向病毒主体程序的路径位置“C:\WINDOWS\system32\ACF7EF\74BE16.EXE”。
再在“C:\Documents and Settings\Administrator(受害者的用户名)\「开始」菜单\程序\启动”目录下创建一个指向病毒主体程序“74BE16.EXE”的快捷方式“74BE16.lnk”。
这是“文件夹.EXE”病毒的另外一个启动项,也就是自启动项“开始菜单”-----“所有程序(P)”-----“启动”目录下随计算机启动被执行的。
最后,病毒程序“74BE16.EXE”被执行到系统中去运行,例如通过DOS命令查看“shell.fne”是否被插入到进程被运行,在“命令提示符”的黑窗口里面输入“TASKLIST /M shell.fne”可以查看到病毒模块“shell.fne”已被病毒调入到病毒进程“74BE16.lnk”中去运行了。
“文件夹.EXE”病毒运行后,会检测是否存在可移动磁盘,如插有可移动磁盘并对其感染。另外还检查可移动磁盘分区根目录下的文件夹,然后复制这些文件夹的名称伪装创建一个与其同名的病毒程序,就连程序图标也是模仿文件夹的图标,然后将被模仿的那个文件夹属性设为“隐藏”。伪造文件夹的病毒程序大小与“文件夹.EXE”病毒样本的大小相同都是“1.34 MB”,而且文件属性均被病毒设置为“只读”和“系统”的文件属性。如果运行这些伪造文件夹的病毒程序就会重新释放病毒,同时也会打开被隐藏的真实原有文件夹,一般用户根本查觉不到病毒活动。如图,这是“文件夹.EXE”病毒感染了我的手机内存卡。
尤其是新安装的操作系统(这里指未修改过的盗版系统),“系统”和“隐藏”属性的文件和文件夹是不被显示的,而且已知文件类型的扩展名也是被隐藏的。这样,“文件夹.EXE”病毒伪装文件夹的病毒程序根本和文件夹无任何区别,再加上无意中打开这些“文件夹.EXE”病毒程序还会打开被隐藏的真实原有文件夹,所以电脑新手很容易被迷惑。
病毒进程“74BE16.EXE”还会连接黑客服务器下载病毒相关程序,下载下来后运行它们。例如下载两个病毒程序到病毒文件夹“5A8DCC”的目录下,本次测试病毒下载的病毒程序名称分别是“PIAA4B2.EXE”和“ZD269.EXE”,文件属性是“只读”、“系统”和“隐藏”的文件属性。
新的一天问候语大全 “文件夹.EXE”病毒还会每隔一段时间打开浏览器来访问某家网站做广告宣传,类似于“广告木马”。例如我在编写原创帖“【原创】“文件夹.EXE”病毒是如何将文件夹变成可执行程序的!”的时候就弹出了一个“钓鱼网站”:ii.23ii.info/index?v=1300102184.56
无心上班且每隔一段时间收集一次受害者的隐私信息,就是受害者使用计算机的一切活动,类似于“间谍”程序。
“文件夹.EXE”病毒在“C:\WINDOWS\system32”系统目录下创建多个这样6位随机数字、字母组成的文件夹,文件属性均是“只读”、“系统”和“隐藏”的文件属性,里面包含着病毒程序、病毒库文件、病毒配置文件。
本文转于新手无毒链接:www.killdu/zhishi/5424.html
“文件夹.EXE”病毒解决方法:投影仪幕布
手工解决方法:
PS:“*”代表随机数字、字母。
按“Ctrl + Alt + Del”键调出“任务管理器”,结束病毒的两个进程“******.EXE”和“*******.EXE”
一般后缀名是“.EXE”大写的。病毒进程很容易被结束掉,看来这个病毒的自我保护能力几乎为“0”!由于大部分病毒程序都是“只读”、“系统”和“隐藏”的文件属性
需要在控制面板的文件夹选项中关闭“隐藏受保护的操作系统文件”和开启“显示所有文件和文件夹”的功能才能看到它们。
删除“C:\WINDOWS\system32”目录下所有“******”名称的文件夹。
删除“C:\Documents and Settings\Administrator(你的用户名)\「开始」菜单\程序\启动”目录下所有“******.lnk”文件。
开始菜单-----运行 输入:“”,引号去掉。调出“注册表编辑器”,依次展开注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”分支下到名称是“******”的键值项删除。
删除可移动磁盘根目录下的病毒程序,可以通过DOS命令清除。
开始菜单-----运行 输入:“”,引号去掉。例如你的可移动磁盘盘符是“H”
就在“命令提示符”的黑窗口里面输入如下DOS命令。
H:
DEL /F /A autorun.inf
DEL /F /A *.exe
然后恢复每个目录下被病毒隐藏的原有文件夹,继续在“命令提示符”的黑窗口里面输入如下DOS命令。
H:
ATTRIB -R -S -H /S /D
据一些求助者反馈,后期“文件夹.EXE”病毒变种还会破坏“显示所有文件和文件夹”的功能和全盘伪装创建“文件夹.exe”病毒程序。
展开注册表
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
我的世界豹猫怎么驯服\Folder\Hidden\SHOWALL”
分支右侧窗口到名称为“CheckedValue”的DWORD值,将数值数据修改为“1”确定就行了。
至于全盘删除病毒伪装创建的“文件夹.exe”病毒程序,同上述处理被感染的可移动磁盘的方法是一样,按照解决方法每个磁盘做一下就行了。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论