病毒簡介
近日,江民反病毒研究中心接到多家企業用戶求助,稱他們的電腦在防毒後,一些重要的資料夾莫名失蹤,而奇怪的是,通過病毒隔離區恢復被清除的病毒檔案後,丟失的資料夾又回來了,用戶對此非常疑惑不解。
江民反病毒專家檢測後發現,用戶感染了"資料夾隱藏者"(Trojan/Delf.cm)病毒,病毒發作後,能隱藏驅動器里的資料夾目錄,然後把自身複製成同名的 .EXE資料夾,以此引誘用戶點擊。而江民防毒軟體能夠準確識別病毒偽裝的資料夾,並直接將其清除,因此造成防毒軟體誤殺“資料夾”的假象。事實上真正的資料夾並沒有丟失,不過被病毒隱藏起來而已。
江民反病毒專家介紹,"資料夾隱藏者"(Trojan/Delf.cm)病毒系採用RootKit 技術隱藏自身進程的木馬
該木馬採用 Delphi 工具編寫,病毒運行後,將在系統目錄下創建大小為36864位元組檔案sys.exe ,同時在註冊表中添加啟動項,以使自己可以與系統一起運行,病毒主要感染Win NT以上的WINDOWS作業系統。
病毒特點
該木馬發作的時候,會在用戶的電腦中彈出以下訊息:
Satan's Day!!! More curse More death!!!
Satan's Dinner!!! More blood More flesh!!!
當病毒發作後,會隱藏自身進程,用江民未知病毒檢測程式會掃描出其可疑機率高達97 % !
該木馬檔案最大的隱蔽之處就是會遍歷硬碟裡面的資料夾,並且將原來的資料夾隱藏起來,自身生成一個和原資料夾同名的 .EXE檔案,引誘用戶點擊。該病毒險惡之處在於,如果防毒軟體將這些偽裝巧妙的病毒檔案刪除,就會使不明真象的用戶誤認為是防毒軟體誤殺,從而嫁禍防毒廠商。
針對該病毒,江民防毒軟體KV2006已及時升級,用戶只需升級KV產品至最新病毒庫,開啟病毒實時監控系統,即可防禦該病毒於系統之外,未升級病毒庫的用戶,也可使用江民未知病毒檢測相應功能對病毒檔案進行全面清除。對於被病毒隱藏的資料夾,用戶可以打開資源管理器,通過“查看”功能,選擇“顯示所有隱藏檔案”選單,而後去掉資料夾的隱藏屬性即可完全恢復。
