文件夹.exe Trojan.Win32.QuickBatch.ab(瑞星命名)
l 综述:该病毒采用QuickBatch编译,执行后有禁用任务管理器,禁用运行,禁用文件夹选项等破坏行为,同时会对系统进程进行监控并结束一些安全工具的进程,(此病毒会结束usbcleaner进程,使用时更改usbcleaner.exe为其他名称即可)。与其他文件夹图标病毒(伪文件夹病毒)相同,此病毒会根据磁盘根目录下文件夹名生成相应的同名EXE副本。
具体分析报告:生成病毒副本如下:
X:/文件夹.exe
X:/autorun.inf
l 内容:
[AutoRun]
icon=C:/WINDOWS/system32/shell32.dll,7
label=本地磁盘
open=
l shell/open=打开(O)
shell/open/Command=文件夹.exe
shell/open/Default=1
禁用任务管理器,禁用文件夹选项以及破坏隐藏文件的显示等行为:
[HKEY_CURRENT_USER/SoftWare/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableTaskmgr"=dword:00000001
[HKEY_CURRENT_USER/SoftWare/Microsoft/Windows/CurrentVersion/Policies/Explorer]
"NoRun"=dword:00000001
"NoFolderOptions"=dword:00000001
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"HideFileExt"=dword:00000001
"ShowSuperHidden"=dword:00000000
"Hidden"=dword:00000000
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
"Checkedvalue"=dword:00000000
手动杀毒建议:
l 此病毒会启动cmd.exe,wscript.exe来运行脚本,杀毒前最好用Icesword结束这两个进程。
l FolderCureV5.0Build20091211-1版可完全查杀并修复这个病毒。
l 下载地址: http://www.usbcleaner.info/analyse.htm http://www.usbcleaner.net/analyse.htm