資料夾EXE病毒

資料夾EXE病毒

木馬名稱:Worm.Win32.AutoRun.soq 當你把你的隨身碟插入到一台電腦後,突然發現隨身碟內生成了以資料夾名字命名的檔案,擴展名為exe,並且它們的圖示跟windows xp默認的資料夾圖示是一樣的,很具有迷惑性。防毒不如防毒本人親證,及時更新win7作業系統,xp已漏洞百出。

基本介紹

  • 中文名:資料夾EXE病毒
  • 病毒類型:蠕蟲
  • 危害級別::3
  • 感染平台::Windows
病毒感染現象,相關分析,病毒行為,解決方案,專殺清除方法,手工清除方法,安全建議,防範方法,

病毒感染現象

  1. 莫名其妙資料夾畫質和解析度降低,似乎打了馬賽克。當然,圖示大才看的出來;
  2. 分區與隨身碟容量突然減少,常達50MB;
  3. 打開資料夾,突然出現延遲,甚至卡頓;
  4. 搜尋執行檔。不知如何搜尋結果量急劇膨脹,常達2000以上;
  5. 想修改某檔案擴展名,修改資料夾選項後突然擴展名消失,或者卡頓後擴展名消失;
  6. 刪除資料夾,發現刪除後還是會再次出現;
  7. 防毒軟體頻繁報毒;
  8. 出現“拒絕訪問”的資料夾;
  9. 結束一個進程(必須是非系統進程),確認沒有打開任何程式。打開資料夾後進程重新出現;
  10. autorun.inf出現;
  11. 結束進程後修改資料夾選項,出現兩個同名資料夾圖示檔案。一個黯淡顯示,一個馬賽克較深;

相關分析

一台電腦中毒後,電腦裡面會有一個 XP-****.exe(其中****是一個大寫字母與數字混合,如XP-02B94AC1.exe)的類似XP補丁的進程以及D7F45.exe的類似進程,同時建立D7F45.exe及一個資料夾的幾個啟動項,當你插入隨身碟後,它會把原資料夾隱身,同時建立同名的EXE資料夾,並建立autorun.inf自動播放檔案,和Recycled.exe的病毒檔案,當不知道的人點擊這個假冒的資料夾時,就會激活病毒。並且這種病毒變種很多,一般的防毒軟體都不會有所提示。
補充:生成的同名EXE檔案,雙擊運行後,病毒程式執行,但還是會打開此資料夾以此迷惑你,一般不會引起注意,很具有迷惑性。
病毒名稱:Worm.Win32.AutoRun.soq
病毒類型:蠕蟲
危害級別:3
感染平台:Windows

病毒行為

1、病毒運行後會釋放以下檔案:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(後8位隨機)(其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等並非病毒檔案,而是漢語編程易語言的支持庫檔案)到系統盤的\WINDOWS\system32裡面
2、新增以下註冊表項,已達到病毒隨系統啟動而自啟動的目的。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
註冊表值:XP-290F2C69(後8位隨機)
類型:REG_SZ
值:C:\WINDOWS\system32\XP-290F2C69.EXE(後8位隨機)
3、添加以下啟動項,實現病毒自啟動:
“C:\Documents and Settings\Administrator\「開始」選單\程式\啟動” 里的“ .lnk”指向病毒檔案。
4、下載病毒檔案: (16,896 位元組)保存為以下檔案,並且運行它們:
%Windir%\System32\winvcreg.exe
%Windir%\System32\2080.EXE (名稱隨機)
5、被感染的電腦接入移動磁碟後,病毒會遍歷移動磁碟根目錄下的資料夾,衍生自身到移動磁碟根目錄下,更名為檢測到的資料夾名稱,修改原資料夾屬性為隱藏,使用戶在其他計算機使用移動磁碟打開其資料夾時運行病毒, 以達到病毒隨移動磁碟傳播的目的。

解決方案

專殺清除方法

下載金山毒霸等防毒軟體。

手工清除方法

1、結束病毒進程。打開超級巡警,選擇進程管理功能,終止進程XP-290F2C69.EXE(後8位隨機),winvcreg.exe,2080.exe(隨機名)。
2、刪除病毒在System32生成的以下檔案:
com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(隨機名)
3、刪除病毒的啟動項,刪除以下啟動項:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(後8位隨機);
“C:\Documents and Settings\Administrator\「開始」選單\程式\啟動” 里的“ .lnk”。
4、點擊“開始”---“運行”----輸入“cmd” ,進入命令提示符,然後進入你隨身碟所在的根目錄,具體操作如下,比如你的隨身碟盤符位G,那么依次運行如下命令(第一行的“G:”為你的隨身碟盤符):
cd /d G:
for /f "delims=" %a in ('dir /b /ad') do (del /a /f /q "%a.exe")
for /f "delims=" %a in ('dir /b /adh') do (attrib -s -h -r "%a")

安全建議

建議安裝360安全衛士
或者是開啟USBCleaner的Usbmon.exe保護程式
這個毒是小毒來的,只要你裝了360,開啟了除ARP防火牆(可根據個人再開啟)其餘的實時保護,就不再怕那個毒了
雖然是小毒,但是safe360最新版(比如目前的5.0)、KAV7.0、NOD32 EAV3.0版、NOD32 ESS3.0(4.0版本已經可以識別這個病毒)版都殺不了這個毒,甚至查都查不出來,當然,病毒庫都是最新的,除了專殺好象其他殺軟都對這個毒忽略了,讓我感到意外的是瑞星居然還能查殺,雖然我對瑞星的防毒能力一直持懷疑態度,這個毒的數據我也提交了好幾次,但是殺軟和這個毒一直相安無事。

防範方法

1:一定要注意在網上下載的任何程式,最好全部進行掃描。如果沒有殺軟,請不要下載外掛、盜版遊戲、黑客工具等高危軟體。請注意,有的安裝程式會有捆綁,安裝時一定要把隱蔽處的“√”叉掉。
2:當你不能殺掉病毒,但是隨身碟必須插入工作,請一定要結束進程。(比如我的學校由於隨身碟交叉感染,我要求每一個隨身碟都例行檢查,並結束掉病毒進程。)
3:儘量把電腦設定為:
  1. 顯示所有隱藏的檔案
  2. 顯示所有檔案的擴展名。
經過這樣處理後,所有的exe檔案的擴展名都會暴露,並且隱藏的資料夾會由於系統設定(資料夾一般在前)而跑到病毒檔案之前。這樣就減少了病毒執行的可能性。但是要注意!當病毒存在進程時,它會狂掃資料夾選項的設定。如果存在異常,會馬上恢復。請先結束進程。

相關詞條

熱門詞條

聯絡我們