注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

无忧信息技术教育

(无忧教学在线)

 
 
 

日志

 
 
关于我

吴运红,计算机本科学历,高级教师,韶关市第六批名师培养对象,教学论文分别在《中小学电教》、《考试周刊》、《韶关教育》发表。

网易考拉推荐

文件夹同名病毒的简易判断与清除  

2010-06-30 18:58:56|  分类: 电脑技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

“文件夹”类型病毒的简易判断与清除

 

        当前一种通过隐藏移动磁盘文件夹,创建图标为“文件夹”且与被隐藏文件夹同名.exe文件的病毒正在校园网内广泛流行。学生、教师U盘最容易传染此类型病毒,由于此病毒主要以恶作剧为目的,没有发现其他破坏情况(也可能尚处于隐蔽期,尚未发作)广大杀毒软件不能正确识别和清除,因此难以有效遏制其传播,从而导致部分初级用户甚至因为无法解决此问题而被迫格式化磁盘。

  一、病毒主要工作原理

  1、无毒移动磁盘插入染毒计算机后,加载在进程中的病毒首先利用遍历算法在移动磁盘各分区根目录写入两个文件,autorun.infRecycled.exe,前者指向后者,以便后者能自动执行。后者图标为“文件夹”使它看起来就像“回收站”

  2、隐藏所有“文件夹”,同时创建Recycled.exe的若干个副本,其特点为:文件名与被隐藏夹相同,图标为“文件夹”。双击这些文件可打开被隐藏的相应目录

  3、受感染的磁盘转入正常计算机时,由于用户通常都是双击磁盘图标打开相应分区,从而激活autorun.inf并执行Recycled.exe文件,向正常计算机%windir%\system32写入一个文件名随机的隐藏目录,目录内隐藏病毒体——图标类似Visual BASIC编译产生的.exe文件,并在“C:\Documents
and Settings\<当前Windows登录用户名>\「开始」菜单\程序\启动”当中添加一个快捷方式,使之指向病毒体。此随机目录名称看起来很像一个十六进制数,即不会出现A7D8ZX之类名称,但肯定会出现A7D8EF之类文件名。

  4、该病毒体没有使用当前流行木马、病毒采用的自我保护机制,很容易被手工清除,也许正是这个原因,杀毒软件不报不杀,偶尔报告的只是把autorun.inf给清除掉。从而导致其大面积传播。

  二、病毒发生作用的原因

  默认Windows XP用户都不会显示隐藏、系统属性的文件,且文件扩展名被隐藏。因此,隐藏的目录变得不可见。即使autorun.inf被杀毒软件清除,但由于假扮的目录存在,大部分用户仍有可能误执行病毒体,从而导致病毒清除中只要漏杀一个移动磁盘,病毒立刻卷土重来。

  三、解决方案

  首先,插入移动磁盘前,务必确认宿主计算机未感染病毒。解决办法如下:

  1、查看任务管理器,进程中如果存在一个文件名看起来就像一个3字节的十六进制数的进程(名称6个字符,构成字符在0~9,ABCDEF范围内),请务必使用“结束进程树”将其结束。某些计算机当中可能不仅仅有一个这样的进程,也请一并结束。

  2、如果该计算机C盘被还原卡保护,请不必管它,反正现在你插入移动磁盘是安全的了。

  其次,如果未进行上述检查就已经插入移动磁盘,请这样检查你的磁盘是否已被感染

  1、默认的文件夹视图通常都是“图标”,在这个状态下,我们无法区分一个图标是“文件夹”的玩意,到底是不是一个真正的文件夹(我还是喜欢管它叫“目录”,微软搞出“文件夹”这名字特拗口)。


图1 默认的文件夹视图

  2、这时候,我们需要修改默认的文件夹视图为“详细信息”(图2)。


图2 更改默认视图

  3、更改文件夹视图后,我们可以清晰的区分文件和文件夹(图3)。


图3 “详细信息”视图

  文件夹在“大小”列是没有数值的,而文件则会有数值,如果上述视图变成这个模样(图4),那么恭喜你,你中毒了!


图4 中毒的迹象

  注意图3与图4的区别,图标、尺寸、类型已经暴露了图标是文件夹但其实是病毒体的“qemumanager40”。如果此时你设置了“显示隐藏文件”和“显示文件扩展名”,你会发现这样的现象(图5)。


图5 显示隐藏文件和文件扩展名的文件视图

  毫无疑问,这个“qemumanager40.exe”就是病毒体,而真正的“qemumanager40”文件夹已经被病毒隐藏。因此,当我们使用“详细信息”视图时看到图标是“文件夹”的应用程序,其尺寸为1.19MB(或者从1196KB~1200KB左右)时,请毫不犹豫地选择并删除它

  然后,去除被隐藏文件夹的“隐藏”属性即可。

  四、手工清除步骤(自动快速杀毒请用本站开发的“U盘杀毒专家”软件)

  1、请系统管理员继续做下去,通常系统管理员的计算机应用水平都比较高,我们就简而言之吧。

  首先是设置,最好能保证你提供给别人使用的公共计算机的C盘是得到保护的。当然,若是染了毒,至少重新启动前,它还是不安全的。因此,请把所有文件夹的默认视图改为“详细信息”,并且显示隐藏文件和文件扩展名。


图6 文件夹选项

  设置好一个文件夹视图后,在图6把它“应用到所文件夹”并确认“高级选项”类似图6那样。

  2、到%windir%\system32下,按“修改时间”对目录逆向排序,删除最近创建的,目录名看起来像十六进制数的隐藏目录。

  3、在你的FTP服务器当中给用户留下一个批处理文件,名称叫什么不重要,重要的是内容。图7是笔者设计的批处理文件内容:

图7 免疫程序的内容

  它的作用是利用不可删除的autorun.inf目录recycled.exe目录来避免autorun.inf文件recycled.exe文件被病毒创建,从而保证移动磁盘即使受到感染,也不会自动执行。当用户双击磁盘盘符打开时,不会激活autorun.inf文件并执行recycled.exe,从而保证你管理的电脑不被带毒磁盘感染,变成“病毒传播机”。

 4、最后,告诫你的用户,在目前病毒高发的时代,使用右键菜单的“资源管理器”打开磁盘,远比双击磁盘名称打开更为安全

  评论这张
 
阅读(201)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017