移动盘同名文件夹EXE病毒

一、病毒名称

　　病毒名称：移动盘同名文件夹病毒；文件夹EXE病毒；同名文件夹EXE病毒

　　木马名称：Worm.Win32.AutoRun.soq

二、中毒特征

　　移动盘中毒后，移动盘中的所有文件夹被隐藏起来，病毒伪装成文件夹，但露出了尾巴，也就是露出了它的扩展名exe，因为我见到的文件夹一般是没有扩展名的，而且你可以往里面放东西的，所以，见到exe你应该想到它不是文件夹了，它是一个应用程序。系统中毒后，进程中会出现一两个随机数字和字母命名的进程，病毒文件被复制到系统根目录和系统临时文件夹以及自启动和注册表中。它们可以相互感染传播，只要移动盘中毒了或者电脑中毒了，它们就会感染没有中毒的一方。该病毒经过几次变异，目前它在命名上和隐藏路径上出现了新变化，阻止显示隐藏文件，达到加强生存的能力，这个需要注意。

　　以下几个是中毒后的典型特征：

　　

1、移动盘中的文件夹带exe

　　其实该带exe的文件夹不是文件夹，而是可执行程序，它的图标是文件夹，扩展名为.EXE，大小约为1.20M-1.50M，通常是1.44M。

　　

2、进程中出现以数字和字母随机命名的进程

　　旧版病毒通常以“XP”开头，如XP-F84AA1B5.EXE。变异后是六位随机命名，如96015E.exe。

　　

3、自启动出现两个病毒快捷方式

　　自启动中出现一个文件夹图标或者没有图标的快捷方式，该快捷方式没有名称，或者名称是空格，但空格通常占有一定位置这样“　.lnk”。同时出现在启动项中还有随机命名的病毒快捷方式。

　　

4、常见病毒主体

　　病毒主体被拷贝到系统根目录和系统临时文件夹中，病毒主体主要有以下几个：

　　XP-*.EXE（随机命名）

　　96015E.exe（随机命名）

　　winvcreg.exe

　　og.dll

　　ul.dll

　　og.EDT

　　21c0.EDT

　　21c0.inf

　　69fe.inf

　　com.run

　　dp1.fne

　　eAPI.fne

　　internet.fne

　　krnln.fnr

　　RegEx.fnr

　　shell.fne

　　spec.fne

　　msdll.dll

　　

5、移动盘中的文件夹被隐藏起来

　　可以通过显示隐藏文件查看，但新变异病毒会阻止查看隐藏文件。

　　

6、自动传播

　　该病毒可以实现电脑和移动盘相互感染传播，特别是在没有禁用系统自动播放功能和没有免疫autoruns的系统上，一插入中毒盘，病毒就会自动打开移动盘，即使经过免疫，双击该（带EXE的文件夹）病毒，该病毒也会自动运行。

三、危害程度

　　目前尚不明确该毒的主要危害，据说可以自动下载木马。它对系统的危害性不是很明显，它的危害更多来自病毒自动传播上给人们带来的困扰、担忧和恐惧。当前泛滥于办公电脑和个人电脑，新闻报道80%的办公电脑和移动盘中过该毒。

四、杀毒方式

　　由于该病毒的危害性不是很明显，许多杀毒软件都当它是小儿科，根本不值一提，正是这种轻视的态度造成了该病毒的泛滥，困扰着人们的工作和生活。

　　

1、杀毒工具：

　　目前据说瑞星已经将其列入查杀项目，不清楚其它杀毒软件是否有此计划。

　　据我所知，当前能够有效查杀该病毒的有USBCleaner。

　　360安全卫士能够检测出来，但不一定能够完整清理。检测力强，杀毒力软，这也是360一直被人诟病的地方。

　　其它的如木马克星、超级巡警等专门查杀木马和专门查杀优盘的杀毒软件道理上应该都可以查杀该病毒。

　　

2、病毒专杀：

　　网上的专杀很多，大家可以尝试，一般都能够手到病除，但要注意及时更新。推荐使用文件夹图标专杀工具。

　　

3、手动专杀：

　　该病毒还是比较容易查杀的，只要找到该病毒的藏身之所你就可以将其清除。在查杀的时候，可以使用批处理来协助查杀，方法如下：

　　^[1]将以下代码复制到记事本中，另存为“专杀同名文件夹病毒.bat”运行即可，注意格式为【 .bat 】。

　　@echo off

　　title 甲兵时代移动盘同名文件夹病毒专杀工具（升级改进版2009.12.1）

　　copy %0 %SYSTEMDRIVE%>nul

　　COLOR 3C

　　echo 开始杀毒，正在检查……

　　for /f %%a in ('tasklist') do echo %%a |findstr "[0-9]" |findstr /i /v "360tray.exe" >>psyf.txt

　　for /f %%a in (psyf.txt) do cls &echo 发现可疑进程：%%a &taskkill /f /im %%a

　　taskkill /f /im XP*

　　tskill explorer

　　taskkill /f /im explorer.exe

　　echo 清除病毒……

　　for /f %%a in (psyf.txt) do (wmic process where name="%%a" get ExecutablePath |find /i ".exe")>>fpath.txt

　　for /f %%a in (fpath.txt) do if exist %%a (attrib -h -r -s -a %%)&(DEL /F /Q %%a)

　　for /f "delims=" %%a in (psyf.txt) do (

　　for /r %SYSTEMROOT%/system32 %%i in (%%a) do (

　　if exist %%i echo %%i>nul

　　if exist %%i (attrib -h -r -s %%i)

　　(DEL /F /Q %%i)

　　)

　　)

　　for /r %SYSTEMROOT%/system32 %%i in (XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll) do (

　　if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)

　　)>nul

　　for /r %temp% %%i in (XP-*.EXE,winvcreg.exe,og.dll,ul.dll,og.EDT,21c0.EDT,21c0.inf,69fe.inf,com.run,dp1.fne,eAPI.fne,internet.fne,krnln.fnr,RegEx.fnr,shell.fne,spec.fne,msdll.dll) do (

　　if exist %%i (attrib -h -r -s %%i) & (DEL /F /Q /A %%i)

　　)>nul

　　attrib -h -r -s %TEMP%/E_4

　　rd %TEMP%/E_4/

　　attrib -r -h -s -a "C:/RECYCLER/S-1-5-21-796845957-1482476501-682003330-500/Dc9.exe"

　　attrib -r -h -s -a "C:/RECYCLER/S-1-5-21-796845957-1482476501-682003330-500/Dc10.exe"

　　attrib -r -h -s -a "C:/RECYCLER/S-1-5-21-796845957-1482476501-682003330-500/Dc11.exe"

　　DEL /F /Q /A "C:/RECYCLER/S-1-5-21-796845957-1482476501-682003330-500/Dc9.exe"

　　DEL /F /Q /A "C:/RECYCLER/S-1-5-21-796845957-1482476501-682003330-500/Dc10.exe"

　　DEL /F /Q /A "C:/RECYCLER/S-1-5-21-796845957-1482476501-682003330-500/Dc11.exe"

　　echo 清除病毒自启动……

　　::是否需要修改RUN中一个无名文件夹的二进制数值？

　　attrib -r -h -s -a "%USERPROFILE%/「开始」菜单/程序/启动/　.lnk"

　　del "%USERPROFILE%/「开始」菜单/程序/启动/　.lnk" /q /f

　　for /f "delims=." %%a in (psyf.txt) do (reg delete "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" /v %%a /f)

　　Del "%ALLUSERSPROFILE%/「开始」菜单/程序/启动/*.*" /q /f

　　Del "%USERPROFILE%/「开始」菜单/程序/启动/*.*" /q /f

　　Del "C:/Docume~1/Default User/「开始」菜单/程序/启动/*.*" /q /f

　　del psyf.txt,fpath.txt

　　start %SYSTEMROOT%/explorer.exe

　　cls&echo.

　　echo ★ 以下清理移动盘中的EXE病毒，请插入移动盘继续！

　　echo.

　　echo ◇ 移动盘中与文件夹名字相同的EXE程序将被清理。

　　echo ◇ 移动盘中的EXE程序大小小于2M的将被清理。

　　echo ◇ 请做好备份后继续。

　　echo.

　　echo.&pause

　　cls&echo.

　　for /f "skip=1 " %%a in ('wmic logicaldisk where "drivetype='2'" get deviceid') do (

　　setlocal EnableDelayedexpansion

　　dir %%a>nul &&IF ERRORLEVEL 0 set tvd=%%a

　　)>nul

　　echo.

　　echo 移动盘是：!tvd!

　　echo.

　　echo ★ 正在恢复显示移动盘中的文件，请稍候……（文件过多可能会影响速度。）

　　echo.

　　for /f %%i in ("!tvd!") do attrib %%~di/*.* -s -r -h -a /d /s

　　setlocal EnableDelayedexpansion

　　for /r %tvd% %%e in (.) do (

　　set w2=%%~fe

　　for /r %tvd% %%i in (*.exe) do (

　　set w1=%%~dpni

　　if !w1! == !w2! del /f/a/q %%i

　　)

　　)

　　for /r %tvd% %%i in (*.exe) do (

　　if %%~zi lss 2000000 (if exist %%i del /f/q/a %%i)

　　)

　　del /a/f/q %tvd%/Autorun.inf.exe

　　del /a/f/q %tvd%/Autorun.exe

　　del /a/f/q %tvd%/RECYCLER.exe

　　del /a/f/q Recycled.exe

　　del /a/f/q %tvd%/Notepad.exe

　　del /a/f/q %tvd%/autorun.inf

　　echo 甲兵时代移动盘同名文件夹病毒专杀工具>%tvd%/autorun.inf

　　attrib +a +h +r +s %tvd%/autorun.inf

　　copy %0 %tvd%>nul

　　cls&echo.

　　echo 杀毒完毕！

　　echo.

　　pause

五、安全防护

　　安全防护意识低是导致该病毒泛滥的一大原因。请检查自己的优盘、MP3、MP4、内存卡、手机等等是否中了该病毒，中毒了请注意查杀。

　　特别是那种公用优盘或者公用电脑，一定要准备一个USB专杀工具，凡是插入的盘都要经过查杀再运行，这样才能有效的阻止病毒的传播。

　　同时，禁用系统的自动播放功能和免疫Autoruns能够有效的预防病毒的自动运行和传播。最近两年移动盘病毒泛滥的一个主要原因就是系统存在两个漏洞，autoruns和desktop。请检查你的机子是否也存在该漏洞。

移动盘同名文件夹病毒专杀工具（原创批处理:2009.12.1升级改进版）

本篇为原创，转载请注明出处。 http://hi.baidu.com/cjiabing     甲兵时代，为你服务。