[病毒]文件夹EXE病毒(U盘)

Windows下有一种病毒感染电脑后,当有U盘(包括移动硬盘)连接后会把该设备所有的文件夹都变成exe文件,这类病毒的有很多衍生版本,以下只是以其中一个为例。

这个是被感染的U盘:

正常是这样的:

病毒介绍:

  • 病毒名称:Worm.Win32.AutoRun.soq
  • 病毒类型:蠕虫类
  • 危害级别:3
  • 感染平台:Windows

病毒行为:

  1. 病毒运行后会释放以下文件:com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE(后8位随机)(其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件,而是汉语编程易语言的支持库文件)到系统盘的\WINDOWS\system32里面。
  2. 新增以下注册表项,已达到病毒随系统启动而自启动的目的。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    注册表值:XP-290F2C69(后8位随机)
    类型:REG_SZ
    值:C:\WINDOWS\system32\XP-290F2C69.EXE(后8位随机)
  3. 添加以下启动项,实现病毒自启动:
    “C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\「开始」菜单\程序\启动” 里的“ .lnk”指向病毒文件。(不知道启动路径在哪可以给我留言或者参考 利用一个简单的C语言程序实现开机无限重启  这篇文章)
  4. 下载病毒文件: (16,896 字节)保存为以下文件,并且运行它们:
    %Windir%\System32\winvcreg.exe
    %Windir%\System32\2080.EXE (名称随机)
  5. 被感染的电脑接入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到病毒随移动磁盘传播的目的。

病毒感染现象:

  • 莫名其妙文件夹画质和分辨率降低,似乎打了马赛克。当然,图标大才看的出来
  • 分区与U盘容量突然减少,常达50MB
  • 打开文件夹,突然出现延迟,甚至卡顿
  • 搜索可执行文件。不知如何搜索结果量急剧膨胀,常达2000以上
  • 想修改某文件扩展名,修改文件夹选项后突然扩展名消失,或者卡顿后扩展名消失
  • 删除文件夹,发现删除后还是会再次出现
  • 杀毒软件频繁报毒
  • 出现“拒绝访问”的文件夹
  • 结束一个进程(必须是非系统进程),确认没有打开任何程序。打开文件夹后进程重新出现
  • autorun.inf出现
  • 结束进程后修改文件夹选项,出现两个同名文件夹图标文件。一个黯淡显示,一个马赛克较深

 

解决方案:

  1. 在任务管理器结束病毒进程。终止进程XP-290F2C69.EXE(后8位随机),winvcreg.exe,2080.exe(随机名)。
  2. 删除病毒在System32生成的以下文件:
    com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE(随机名)
  3. 删除病毒的启动项,删除以下启动项:
    “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE(后8位随机);
    “C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\「开始」菜单\程序\启动” 里的“ .lnk”。
  4. 点击“开始”---“运行”----输入“cmd” ,进入命令提示符,然后进入你U盘所在的根目录,具体操作如下,比如你的U盘盘符位G,那么依次运行如下命令(第一行的“G:”为你的U盘盘符):
    cd /d G:
    
    for /f "delims=" %a in ('dir /b /ad') do (del /a /f /q "%a.exe")
    
    for /f "delims=" %a in ('dir /b /adh') do (attrib -s -h -r "%a")

    注意: 执行此命令前请先备份U盘数据,若直接执行导致数据丢失,后果自负!

  5. 执行后把U盘中的 "MS-DOS.exe" 以及 "System Volume Information" 文件夹通过文件粉碎程序进行粉碎。
  6. 被感染的电脑可以使用杀毒软件(eg:火绒,卡巴斯基,360杀毒等)查杀。当然,你也可以按照上文所说自行删除病毒文件以及修复开机启动项,前提是该病毒就是上述病毒,并没有变异。

Questions:

  1. 最近我在处理一个被这种病毒(衍生版本)感染的U盘时发现在执行以上命令后在每个文件夹下还会存在一个 “*.exe" 的程序(*代表该目录的名字)

       Ans:对于这种情况,我是在Linux下使用命令行历遍所有的文件夹,并把所有的是 ".exe" 的程序都删除,如果你的U盘内存在有 ".exe" 的程序文件,请先备份后在执行。其实对于这种情况,可以在Linux下写一个脚本来处理,但我的能力有限,如果你有这个能力且愿意分享,可以在文章后留言。

/*关于怎么在Linux下挂在U盘请自行Google*/
find ./ -name "*.exe" | xargs rm -rf   

注意:如果你当前的工作目录就是U盘挂载的目录,命令中的 "./" 不需要修改,如果你的工作目录不是U盘挂载的目录,请使用绝对路径或使用cd命令进入到U盘的挂载目录后再执行此命令,否则误删文件后果自负!!!

参考:文件EXE病毒

最后更新:2019-03-13 02:33:16 星期三

:huaji2: :yinxian:  :huaji:

点赞

发表评论

电子邮件地址不会被公开。必填项已用 * 标注