病毒運行原理
被感染檔案該系列病毒實質上是廣告木馬,它通過隱藏隨身碟中的真實檔案、並替換隨身碟中的資料夾圖示為自己圖示的方式,誘使用戶在每次查看檔案時都必須點擊木馬圖示,激活木馬運行。而一旦運行,"資料夾模仿者"就會彈出指向某些網站的IE視窗,隨後才允許用戶進入資料夾內。
“資料夾模仿者”病毒通過快閃記憶體進入系統後,會在系統的system32目錄中生成一個圖示為資料夾的病毒檔案regsvr.exe,同時創建一個28463資料夾並生成病毒檔案svchost.exe。
病毒會掃描快閃記憶體的根目錄,將根目錄中的所有資料夾名稱記錄下來。然後在相同的位置創建名稱一模一樣的資料夾(含有病毒檔案),再將原來的資料夾內容隱藏。用戶必須點擊這些病毒圖示,才能繼續訪問自己的檔案。有的病毒變種會和原資料夾進行關聯,當用戶運行含病毒的資料夾時,就會自動跳轉到原資料夾目錄,這樣用戶在不知不覺中運行了病毒。這樣一來,病毒就可以被不斷激活運行,同時也可輕鬆繞過安全軟體或者系統本身的禁用自動播放功能。如果用戶試圖清除該毒,就會發現自己原先的資料夾全部消失,但實際上,它們是被病毒隱藏起來了。
病毒還會將自身添加到註冊表的Run啟動項中,並修改系統程式explorer.exe的啟動項,從而達到病毒可以隨機啟動的目的。最後病毒會連線到指定的網址,下載其他的病毒到系統中運行。
病毒的傳播
資料夾模仿者病毒傳播的途徑有三條。第一條,依靠快閃記憶體傳播,這條途徑是主要的。當帶毒的快閃記憶體插入電腦後,autorun.inf檔案裡面的自動運行代碼會激活病毒。第二條,該病毒的部分變種還會利用其他下載者病毒的渠道傳播。下載者病毒經常串通一氣。第三條,網頁掛馬,這條途徑只有極少該病毒變種會用,主要是掛在娛樂網站上,例如曾經掛在周杰倫個人網站上。
病毒查殺
第一步:運行進程管理工具Wsyscheck【下載】,選擇進程列表中的病毒進程regsvr.exe(圖1)和svchost.exe,點擊右鍵選擇“結束選擇的進程”即可。svchost.exe是用紅色標明的,很好辨認。
圖1第二步:點擊Wsyscheck中的“安全檢查→活動檔案”,通過滑鼠配合Ctrl鍵選擇病毒的啟動項regsvr.exe、svchost.exe和explorer.exe regsvr.exe,然後點擊右鍵選擇“修復所選項”即可(圖2)。
圖2第三步:點擊Wsyscheck中的“檔案管理”標籤,在系統的system32目錄中找到病毒檔案regsvr.exe以及28463資料夾中的svchost.exe,點擊右鍵選擇“直接刪除”命令(圖3),然後進入快閃記憶體根目錄裡面,選擇所有偽裝成資料夾的病毒檔案,點擊右鍵選擇“直接刪除”命令。
圖3第四步:病毒清除了,現在要堵上病毒通過快閃記憶體進入電腦的通道。在“運行”中輸入“gpedit.msc”,在組策略中點擊“計算機配置→管理模板→系統”,啟用“關閉自動播放”策略即可。此外,上網時最好還用一些能攔截網頁木馬的安全輔助工具。
工程師建議
病毒工程師發現反病毒工程師是在對"資料夾模仿者"系列(英文名為Win32.Troj.FakeFolder.)的若干新樣本進行比對分析時發現這個問題的。這些樣本由雲安全系統經智慧型分析後被認為與舊版本存在較大差異,從而轉交人工確認。結果被發現使用了win7圖示。 這項發現證明該毒的作者正在追逐用戶,當越來越多用戶開始嘗試WIN7系統時,病毒作者也將戰場轉移至這一平台,如同逐水草而居的牧民一般。不過,這一新變種比較好識別,如果用戶使用的不是WIN7系統,卻看到隨身碟中的資料夾圖示完全變樣,那多半就是感染了"資料夾模仿者"的這一新變種。由於在隱藏真實資料夾時破壞了系統相關數據,一些用戶在殺軟查殺該毒後會找不到以前的檔案,對此,只需下載運行金山安全實驗室提供的免費工具"急救箱",即可恢復正常。
安裝專業的正版防毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開,並一定要開啟自動升級功能,遇到防毒軟體異常的問題,要儘快與其生產廠商聯繫求助。
作業系統和第三方軟體的安全補丁永遠是電腦中最重要的安全環節。不論你安裝的防毒軟體多么強大,只要你的系統中存在安全漏洞,病毒就可以找到突破防禦的縫隙。因此,請儘可能使用正版軟體,以獲得及時的升級服務。
良好的上網習慣不可忽視。目前大部分病毒是通過網頁掛馬的形式來感染用戶,因此建議用戶一定要養成良好的網路使用習慣,如不要登錄不良網站、不要進行非法下載等,這樣才能切斷病毒感染的途徑,不給病毒以可乘之機。
警惕網路詐欺,切記"天上不可能掉餡餅"。防毒軟體可以為您攔截惡意程式的攻擊,而至於基於社會工程學的詐欺,很多時候仍依賴於您自己的意志是否堅定。絕大多數網路詐欺都是利用受害者的貪便宜心理,比如QQ中大獎、網站抽大獎等。
可以在我的電腦中資料夾設定查看電腦檔案後綴,就能及時發現病毒。
1.安裝專業的正版防毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開,並一定要開啟自動升級功能,遇到防毒軟體異常的問題,要儘快與其生產廠商聯繫求助。
2.作業系統和第三方軟體的安全補丁永遠是電腦中最重要的安全環節。不論你安裝的防毒軟體多么強大,只要你的系統中存在安全漏洞,病毒就可以找到突破防禦的縫隙。因此,請儘可能使用正版軟體,以獲得及時的升級服務。
3.良好的上網習慣不可忽視。目前大部分病毒是通過網頁掛馬的形式來感染用戶,因此建議用戶一定要養成良好的網路使用習慣,如不要登錄不良網站、不要進行非法下載等,這樣才能切斷病毒感染的途徑,不給病毒以可乘之機。
4.警惕網路詐欺,切記"天上不可能掉餡餅"。防毒軟體可以為您攔截惡意程式的攻擊,而至於基於社會工程學的詐欺,很多時候仍依賴於您自己的意志是否堅定。絕大多數網路詐欺都是利用受害者的貪便宜心理,比如QQ中大獎、網站抽大獎等。
5.可以在我的電腦中資料夾設定查看電腦檔案後綴,就能及時發現病毒。
