最近非常流行的一个病毒,将电脑或者U盘里的文件全部用快捷方式替换,真实文件被隐藏起来,下面我们就具体了解下此种病毒吧,做好预防与杀毒工作。
一、病毒名称
病毒名称:移动盘同名文件夹病毒;文件夹EXE病毒;同名文件夹EXE病毒
木马名称:Worm.Win32.AutoRun.soq
二、中毒特征
移动盘中毒后,移动盘中的所有文件夹被隐藏起来,病毒伪装成文件夹,但露出了尾巴,也就是露出了它的扩展名exe,因为我见到的文件夹一般是没有扩展名的,而且你可以往里面放东西的,所以,见到exe你应该想到它不是文件夹了,它是一个应用程序。系统中毒后,进程中会出现一两个随机数字和字母命名的进程,病毒文件被复制到系统根目录和系统临时文件夹以及自启动和注册表中。它们可以相互感染传播,只要移动盘中毒了或者电脑中毒了,它们就会感染没有中毒的一方。该病毒经过几次变异,目前它在命名上和隐藏路径上出现了新变化,阻止显示隐藏文件,达到加强生存的能力,这个需要注意。
以下几个是中毒后的典型特征:
1、移动盘中的文件夹带exe
其实该带exe的文件夹不是文件夹,而是可执行程序,它的图标是文件夹,扩展名为.EXE,大小约为1.20M-1.50M,通常是1.44M。
2、进程中出现以数字和字母随机命名的进程
旧版病毒通常以"XP"开头,如XP-F84AA1B5.EXE。变异后是六位随机命名,如96015E.exe。
3、自启动出现两个病毒快捷方式
自启动中出现一个文件夹图标或者没有图标的快捷方式,该快捷方式没有名称,或者名称是空格,但空格通常占有一定位置这样".lnk"。同时出现在启动项中还有随机命名的病毒快捷方式。
4、常见病毒主体
病毒主体被拷贝到系统根目录和系统临时文件夹中,病毒主体主要有以下几个:
XP-*.EXE(随机命名)
96015E.exe(随机命名)
winvcreg.exe
og.dll
ul.dll
og.EDT
21c0.EDT
21c0.inf
69fe.inf
com.run
dp1.fne
eAPI.fne
internet.fne
krnln.fnr
RegEx.fnr
shell.fne
spec.fne
msdll.dll
5、移动盘中的文件夹被隐藏起来
可以通过显示隐藏文件查看,但新变异病毒会阻止查看隐藏文件。
6、自动传播
该病毒可以实现电脑和移动盘相互感染传播,特别是在没有禁用系统自动播放功能和没有免疫autoruns的系统上,一插入中毒盘,病毒就会自动打开移动盘,即使经过免疫,双击该(带EXE的文件夹)病毒,该病毒也会自动运行。
三、危害程度
目前尚不明确该毒的主要危害,据说可以自动下载木马。它对系统的危害性不是很明显,它的危害更多来自病毒自动传播上给人们带来的困扰、担忧和恐惧。该病毒07、08年开始流行,当前泛滥于办公电脑和个人电脑,新闻报道80%的办公电脑和移动盘中过该毒。
四、杀毒方式
由于该病毒的危害性不是很明显,许多杀毒软件都当它是小儿科,根本不值一提,正是这种轻视的态度造成了该病毒的泛滥,困扰着人们的工作和生活。
1、杀毒工具:
目前据说瑞星已经将其列入查杀项目,不清楚其它杀毒软件是否有此计划。
据我所知,当前能够有效查杀该病毒的有USBCleaner。
360安全卫士能够检测出来,但不一定能够完整清理。检测力强,杀毒力软,这也是360一直被人诟病的地方。
其它的如木马克星、超级巡警等专门查杀木马和专门查杀优盘的杀毒软件道理上应该都可以查杀该病毒。
当然,杀毒软件每日都在更新,今天说不能杀不代表明天不能杀。
2、病毒专杀:
网上的专杀很多,大家可以尝试,一般都能够手到病除,但要注意及时更新。推荐使用文件夹图标专杀工具。
3、手动专杀:
该病毒还是比较容易查杀的,只要找到该病毒的藏身之所你就可以将其清除。在查杀的时候,可以使用批处理来协助查杀,方法如下:
[1]将以下代码复制到记事本中,另存为"专杀同名文件夹病毒.bat"运行即可,注意格式为【.bat】。
1 @echo off 2 title 移动盘同名文件夹病毒专杀工具(升级改进版2009.12.1) 3 copy %0%SYSTEMDRIVE%>nul 4 COLOR3C 5 echo 开始杀毒,正在检查…… 6 for /f%%ain('tasklist')doecho%%a|findstr"[0-9]"|findstr/i/v"360tray.exe">>psyf.txt 7 for /f%%ain(psyf.txt)docls&echo发现可疑进程:%%a&taskkill/f/im%%a 8 taskkill /f /im XP* 9 taskkill explorer 10 taskkill/f/imexplorer.exe 11 echo清除病毒…… 12 for/f%%ain(psyf.txt)do(wmicprocesswherename="%%a"getExecutablePath|find/i".exe")>>fpath.txt 13 for/f%%ain(fpath.txt)doifexist%%a(attrib-h-r-s-a%%)&(DEL/F/Q%%a) 14 for/f"delims="%%ain(psyf.txt)do( 15 for/r%SYSTEMROOT%\system32%%iin(%%a)do( 16 ifexist%%iecho%%i>nul 17 ifexist%%i(attrib-h-r-s%%i) 18 (DEL/F/Q%%i) 19 ) 20 ) 21 for/r%SYSTEMROOT%\system32%%iin(XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll)do( 22 ifexist%%i(attrib-h-r-s%%i)&(DEL/F/Q/A%%i) 23 )>nul 24 for/r%temp%%%iin(XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll)do( 25 ifexist%%i(attrib-h-r-s%%i)&(DEL/F/Q/A%%i) 26 )>nul 27 attrib-h-r-s%TEMP%\E_4 28 rd%TEMP%\E_4\ 29 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe" 30 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe" 31 attrib-r-h-s-a"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe" 32 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe" 33 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe" 34 DEL/F/Q/A"C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe" 35 echo清除病毒自启动…… 36 ::是否需要修改RUN中一个无名文件夹的二进制数值? 37 attrib-r-h-s-a"%USERPROFILE%\「开始」菜单\程序\启动\.lnk" 38 del"%USERPROFILE%\「开始」菜单\程序\启动\.lnk"/q/f 39 for/f"delims=."%%ain(psyf.txt)do(regdelete"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"/v%%a/f) 40 Del"%ALLUSERSPROFILE%\「开始」菜单\程序\启动\*.*"/q/f 41 Del"%USERPROFILE%\「开始」菜单\程序\启动\*.*"/q/f 42 Del"C:\Docume~1\DefaultUser\「开始」菜单\程序\启动\*.*"/q/f 43 delpsyf.txt,fpath.txt 44 start%SYSTEMROOT%\explorer.exe 45 cls&echo. 46 echo以下清理移动盘中的EXE病毒,请插入移动盘继续! 47 echo. 48 echo◇移动盘中与文件夹名字相同的EXE程序将被清理。 49 echo◇移动盘中的EXE程序大小小于2M的将被清理。 50 echo◇请做好备份后继续。 51 echo. 52 echo.&pause 53 cls&echo. 54 for/f"skip=1"%%ain('wmiclogicaldiskwhere"drivetype='2'"getdeviceid')do( 55 setlocalEnableDelayedexpansion 56 dir%%a>nul&&IFERRORLEVEL0settvd=%%a 57 )>nul 58 echo. 59 echo移动盘www.2cto.com是:!tvd! 60 echo. 61 echo正在恢复显示移动盘中的文件,请稍候……(文件过多可能会影响速度。) 62 echo. 63 for/f%%iin("!tvd!")doattrib%%~di\*.*-s-r-h-a/d/s 64 setlocalEnableDelayedexpansion 65 for/r%tvd%%%ein(.)do( 66 setw2=%%~fe 67 for/r%tvd%%%iin(*.exe)do( 68 setw1=%%~dpni 69 if!w1!==!w2!del/f/a/q%%i 70 ) 71 ) 72 for/r%tvd%%%iin(*.exe)do( 73 if%%~zilss2000000(ifexist%%idel/f/q/a%%i) 74 ) 75 del/a/f/q%tvd%\Autorun.inf.exe 76 del/a/f/q%tvd%\Autorun.exe 77 del/a/f/q%tvd%\RECYCLER.exe 78 del/a/f/qRecycled.exe 79 del/a/f/q%tvd%\Notepad.exe 80 del/a/f/q%tvd%\autorun.inf 81 echo移动盘同名文件夹病毒专杀工具>%tvd%\autorun.inf 82 attrib+a+h+r+s%tvd%\autorun.inf 83 copy%0%tvd%>nul 84 cls&echo. 85 echo杀毒完毕! 86 echo. 87 pause
五、安全防护
安全防护意识低是导致该病毒泛滥的一大原因。请检查自己的优盘、MP3、MP4、内存卡、手机等等是否中了该病毒,中毒了请注意查杀。
特别是那种公用优盘或者公用电脑,一定要准备一个USB专杀工具,凡是插入的盘都要经过查杀再运行,这样才能有效的阻止病毒的传播。
同时,禁用系统的自动播放功能和免疫Autoruns能够有效的预防病毒的自动运行和传播。最近两年移动盘病毒泛滥的一个主要原因就是系统存在两个漏洞,autoruns和desktop。请检查你的电脑是否也存在该漏洞。