昨天刚刚把黑屏的ThinkPad修好,没想到晚上又中毒了,而且我眼睁睁地看着病毒。
事情是这样的。
一、起因
我在一台XP老系统上使用U盘复制了一下文件,当把U盘插到Windows7上,点击了“自动播放”提示框中的打开文件夹选项,正准备粘贴文件,我发现了异常。
U盘系统中的Boot文件夹和sources文件夹变为了Boot.exe和sources.exe,除此之外还有efi.exe\RECYCLE.exe,熟悉的朋友看到这里应该就知道怎么回事了。
我的Windows7系统中只有默认的WindowsDefender,并没有安装其他的杀毒软件,看到文件夹末尾出现了.exe后缀,我想到,这是中病毒了。
可是因为没有杀毒软件,系统此时也没有任何发现病毒的提示,
是不是整个系统都中毒了,全盘的文件夹都变成.exe后缀了?
二、点还是不点?
看到这种情况,你会不会好奇去双击一下其中的某个文件夹?
根据我的经验,这个时候是万万不能双击的,
因为Windows7自动播放的存在,系统资源管理器现在已经打开了U盘根目录,整个系统到底中没中病毒?怎么办?
我想赶紧临时装个杀毒软件,于是立即打开浏览器搜索栏一个杀毒软件,然后安装。
所幸系统正常运行,很快360杀毒软件就安装好了。
三、杀毒
打开软件马上进行一遍快速扫描,一开始并无异常,扫描到最后,360竟然扫描了此时正插在电脑上的U盘,意料之中:
U盘目录I:\盘下共有6个异常,其中5个是文件夹.exe,蠕虫病毒,详情里关键词是FakeFolder,即虚假文件夹病毒
还有1个位于REYCLER目录下的二级文件夹里,叫做autorunme.exe,翻译过来就是自动运行我,显示是一个感染型病毒。
为了看到更详细的信息,我也打开详情看了看:
当然没有任何疑问,直接处理,360把这些文件直接删除了
然后我进入360的备份恢复区,再清空一下,这些东西毫无保留的需要
病毒处理完了吗?其实还没有,接下来,格式化U盘是不可缺少的
还有就是这次的病毒很明显是文件夹类的病毒,通过搜索了解了类似病毒的发作特征。
最初插上U盘的XP系统处于正常运行状态中,这也是我没有发现异常的原因,搜索得知,此类病毒会创建类似“XP-****.exe”的进程,当有U盘插入时,病毒就会创建exe病毒文件夹,还会写入autorun.inf自动播放文件,当有人点击假冒的文件夹时,病毒就被激活了。
所以,上面我眼睁睁地看着病毒在我的电脑里,但是我没有去点。所以病毒就没有发作!
那么,染毒的电脑会有哪些表现?跟我一起去那台XP电脑里看一看
四、可恶的病毒,谁的作品?
1、启动项目异常
打开XP系统的系统配置实用程序,在启动项中我们可以看到“XP-B2E8187D”的一个启动项,程序主文件位于WINDOWS/system32目录下,注册表信息位于
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run之下
而且有意思的是,启动项目中的第4项为空,但命令也是WINDOWS/system32目录下的XP-B2E~1.exe
然后第5项是RavTask,这是瑞星杀毒软件的启动项,但在这里已经被取消启动了
最后一项还是XP-B2E8187D,这个病毒真是可恶,为了保证自身的运行搞出这么多启动项。
2、系统文件夹
病毒会在WINDOWS/system32之下创建“XP-B2E8187D.EXE”的文件,这个文件的属性是“只读、隐藏、系统”,所以默认情况下在文件资源管理器中是看不到也搜索不到的,而且它虽然是个程序,但是他的的图标却是一个文件夹样式。
除此之外,很多.fne.fnr文件也是该病毒创建的
如果我们尝试删除这个病毒程序,结果可想而知,它怎么会让你把它删除呢?
3、注册表异常,这个和第一项中的启动项是一致的,就是病毒确保自身能够随系统启动
我们也可以在系统进程中发现,正在运行的程序就包含“XP-B2E8187D.EXE”
另外,我们还可以在开始菜单-程序-启动文件夹下发现一个为空的启动项,又是空项,写病毒的人很会想啊!其属性就是指向WINDOWS/system32目录下的病毒程序
我发现这个XP系统中的还安装了瑞星杀毒软件,遗憾的是它已经不能启动了
这个病毒并不会破坏系统中的文件,也不会删除相关的文件,但是却十分烦人,
所以,你说这是谁写了这种病毒出来?