最近非常流行的一个病毒,将电脑或者U盘里的文件全部用快捷方式替换,真实文件被隐藏起来,下面我们就具体了解下此种病毒吧,做好预防与杀毒工作。
 
一、病毒名称
 
病毒名称:移动盘同名文件夹病毒;文件夹EXE病毒;同名文件夹EXE病毒
 
***名称:Worm.Win32.AutoRun.soq
 
二、中毒特征
 
移动盘中毒后,移动盘中的所有文件夹被隐藏起来,病毒伪装成文件夹,但露出了尾巴,也就是露出了它的扩展名exe,因为我见到的文件夹一般是没有扩展名的,而且你可以往里面放东西的,所以,见到exe你应该想到它不是文件夹了,它是一个应用程序。系统中毒后,进程中会出现一两个随机数字和字母命名的进程,病毒文件被复制到系统根目录和系统临时文件夹以及自启动和注册表中。它们可以相互感染传播,只要移动盘中毒了或者电脑中毒了,它们就会感染没有中毒的一方。该病毒经过几次变异,目前它在命名上和隐藏路径上出现了新变化,阻止显示隐藏文件,达到加强生存的能力,这个需要注意。
 
以下几个是中毒后的典型特征:
 
1、移动盘中的文件夹带exe
 
其实该带exe的文件夹不是文件夹,而是可执行程序,它的图标是文件夹,扩展名为.EXE,大小约为1.20M-1.50M,通常是1.44M
 
2、进程中出现以数字和字母随机命名的进程
 
旧版病毒通常以“XP”开头,如XP-F84AA1B5.EXE。变异后是六位随机命名,如96015E.exe
 
3、自启动出现两个病毒快捷方式
 
自启动中出现一个文件夹图标或者没有图标的快捷方式,该快捷方式没有名称,或者名称是空格,但空格通常占有一定位置这样“.lnk”。同时出现在启动项中还有随机命名的病毒快捷方式。
 
4、常见病毒主体
 
病毒主体被拷贝到系统根目录和系统临时文件夹中,病毒主体主要有以下几个:
 
XP-*.EXE(随机命名)
 
96015E.exe(随机命名)
 
winvcreg.exe
 
og.dll
 
ul.dll
 
og.EDT
 
21c0.EDT
 
21c0.inf
 
69fe.inf
 
com.run
 
dp1.fne
 
eAPI.fne
 
internet.fne
 
krnln.fnr
 
RegEx.fnr
 
shell.fne
 
spec.fne
 
msdll.dll
 
5、移动盘中的文件夹被隐藏起来
 
可以通过显示隐藏文件查看,但新变异病毒会阻止查看隐藏文件。
 
6、自动传播
 
该病毒可以实现电脑和移动盘相互感染传播,特别是在没有禁用系统自动播放功能和没有免疫autoruns的系统上,一插入中毒盘,病毒就会自动打开移动盘,即使经过免疫,双击该(带EXE的文件夹)病毒,该病毒也会自动运行。
 
三、危害程度
 
目前尚不明确该毒的主要危害,据说可以自动下载***。它对系统的危害性不是很明显,它的危害更多来自病毒自动传播上给人们带来的困扰、担忧和恐惧。该病毒0708年开始流行,当前泛滥于办公电脑和个人电脑,新闻报道80%的办公电脑和移动盘中过该毒。
 
四、杀毒方式
 
由于该病毒的危害性不是很明显,许多杀毒软件都当它是小儿科,根本不值一提,正是这种轻视的态度造成了该病毒的泛滥,困扰着人们的工作和生活。
 
1、杀毒工具:
 
目前据说瑞星已经将其列入查杀项目,不清楚其它杀毒软件是否有此计划。
 
据我所知,当前能够有效查杀该病毒的有USBCleaner
 
360安全卫士能够检测出来,但不一定能够完整清理。检测力强,杀毒力软,这也是360一直被人诟病的地方。
 
其它的如***克星、超级巡警等专门查杀***和专门查杀优盘的杀毒软件道理上应该都可以查杀该病毒。
 
当然,杀毒软件每日都在更新,今天说不能杀不代表明天不能杀。
 
2、病毒专杀:
 
网上的专杀很多,大家可以尝试,一般都能够手到病除,但要注意及时更新。推荐使用文件夹图标专杀工具。
 
3、手动专杀:
 
该病毒还是比较容易查杀的,只要找到该病毒的藏身之所你就可以将其清除。在查杀的时候,可以使用批处理来协助查杀,方法如下:
 
[1]将以下代码复制到记事本中,另存为“专杀同名文件夹病毒.bat”运行即可,注意格式为【 .bat 】。
 
@echo off
 
title 甲兵时代移动盘同名文件夹病毒专杀工具(升级改进版2009.12.1
 
copy %0 %SYSTEMDRIVE%>nul
 
COLOR 3C
 
echo 开始杀毒,正在检查……
 
for /f %%a in ('tasklist') do echo %%a |findstr "[0-9]" |findstr /i /v "360tray.exe" >>psyf.txt
 
for /f %%a in (psyf.txt) do cls &echo 发现可疑进程:%%a &taskkill /f /im %%a
 
taskkill /f /im XP*
 
tskill explorer
 
taskkill /f /im explorer.exe
 
echo 清除病毒……
 
for /f %%a in (psyf.txt) do (wmic process where name="%%a" get ExecutablePath |find /i ".exe")>>fpath.txt
 
for /f %%a in (fpath.txt) do if exist %%a (attrib -h -r -s -a %%)&(DEL /F /Q %%a)
 
for /f "delims=" %%a in (psyf.txt) do (
 
for /r %SYSTEMROOT%\system32 %%i in (%%a) do (
 
if exist %%i echo %%i>nul
 
if exist %%i (attrib -h -r -s %%i)
 
(DEL /F /Q %%i)
 
)
 
)
 
for /r %SYSTEMROOT%\system32 %%i in (XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll) do (
 
if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)
 
)>nul
 
for /r %temp% %%i in (XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll) do (
 
if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)
 
)>nul
 
attrib -h -r -s %TEMP%\E_4
 
rd %TEMP%\E_4\
 
attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
 
attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
 
attrib -r -h -s -a "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
 
DEL /F /Q /A "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc9.exe"
 
DEL /F /Q /A "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc10.exe"
 
DEL /F /Q /A "C:\RECYCLER\S-1-5-21-796845957-1482476501-682003330-500\Dc11.exe"
 
echo 清除病毒自启动……
 
::是否需要修改RUN中一个无名文件夹的二进制数值?
 
attrib -r -h -s -a "%USERPROFILE%\「开始」菜单\程序\启动\.lnk"
 
del "%USERPROFILE%\「开始」菜单\程序\启动\.lnk" /q /f
 
for /f "delims=." %%a in (psyf.txt) do (reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v %%a /f)
 
Del "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\*.*" /q /f
 
Del "%USERPROFILE%\「开始」菜单\程序\启动\*.*" /q /f
 
Del "C:\Docume~1\Default User\「开始」菜单\程序\启动\*.*" /q /f
 
del psyf.txt,fpath.txt
 
start %SYSTEMROOT%\explorer.exe
 
cls&echo.
 
echo 以下清理移动盘中的EXE病毒,请插入移动盘继续!
 
echo.
 
echo 移动盘中与文件夹名字相同的EXE程序将被清理。
 
echo 移动盘中的EXE程序大小小于2M的将被清理。
 
echo 请做好备份后继续。
 
echo.
 
echo.&pause
 
cls&echo.
 
for /f "skip=1 " %%a in ('wmic logicaldisk where "drivetype='2'" get deviceid') do (
 
setlocal EnableDelayedexpansion
 
dir %%a>nul &&IF ERRORLEVEL 0 set tvd=%%a
 
)>nul
 
echo.
 
echo 移动盘是:!tvd!
 
echo.
 
echo 正在恢复显示移动盘中的文件,请稍候……(文件过多可能会影响速度。)
 
echo.
 
for /f %%i in ("!tvd!") do attrib %%~di\*.* -s -r -h -a /d /s
 
setlocal EnableDelayedexpansion
 
for /r %tvd% %%e in (.) do (
 
set w2=%%~fe
 
for /r %tvd% %%i in (*.exe) do (
 
set w1=%%~dpni
 
if !w1! == !w2! del /f/a/q %%i
 
)
 
)
 
for /r %tvd% %%i in (*.exe) do (
 
if %%~zi lss 2000000 (if exist %%i del /f/q/a %%i)
 
)
 
del /a/f/q %tvd%\Autorun.inf.exe
 
del /a/f/q %tvd%\Autorun.exe
 
del /a/f/q %tvd%\RECYCLER.exe
 
del /a/f/q Recycled.exe
 
del /a/f/q %tvd%\Notepad.exe
 
del /a/f/q %tvd%\autorun.inf
 
echo 甲兵时代移动盘同名文件夹病毒专杀工具>%tvd%\autorun.inf
 
attrib +a +h +r +s %tvd%\autorun.inf
 
copy %0 %tvd%>nul
 
cls&echo.
 
echo 杀毒完毕!
 
echo.
 
pause
 
五、安全防护
 
安全防护意识低是导致该病毒泛滥的一大原因。请检查自己的优盘、MP3MP4、内存卡、手机等等是否中了该病毒,中毒了请注意查杀。
 
特别是那种公用优盘或者公用电脑,一定要准备一个USB专杀工具,凡是插入的盘都要经过查杀再运行,这样才能有效的阻止病毒的传播。
 
同时,禁用系统的自动播放功能和免疫Autoruns能够有效的预防病毒的自动运行和传播。最近两年移动盘病毒泛滥的一个主要原因就是系统存在两个漏洞,autorunsdesktop。请检查你的机子是否也存在该漏洞。