一种隐藏文件夹病毒的分析与防治.docVIP

一种隐藏文件夹病毒的分析与防治 　　【 摘 要 】 随着计算机技术的发展，在网络环境和移动存储大量使用的背景下，计算机病毒的防治面临越来越严峻的形势。近期某企业内网系统一种隐藏文件夹病毒随着优盘等移动存储设备的交互使用，导致一些内网计算机被大面积感染，不但影响系统文件交换，还可能导致用户资料被窃取、商业机密外泄，通过对该计算机病毒的感染原理、传播方式、危害表现、防治等进行了深入的分析、探讨，并用Delphi编写了有针对性的专杀工具，从而达到计算机病毒防治的最终目的。 　　【 关键词 】 计算机病毒；隐藏文件夹；防治；Delphi 　　1 引言 　　随着计算机技术的不断发展，计算机病毒的种类也是推陈出新，也使得我们对其防范的难度越来越大，只要我们努力地去了解计算机病毒的各种特点、原理，就能从根本上去防范和治理它。现在以一种在内网计算机Windows操作系统中大量传播的隐藏文件夹病毒进行防治探讨。 　　2 隐藏文件夹病毒感染机理 　　该种隐藏文件夹病毒属于U盘病毒的一种，对于大多数U盘病毒来说都是通过系统的自动播放功能打开U盘时自动运行病毒程序，从而将病毒传播到操作系统中。在现有各种安全软件都普遍封杀Autorun机制的背景下，该种病毒利用的是将优盘或本地磁盘系统盘以外的分区根目录文件夹强行隐藏，为每一个隐藏的文件夹生成一个141KB的可执行病毒文件（文件大小随其他变种而变化），文件名与被隐藏的文件夹同名，且由于该病毒文件伪装的图标与普通文件夹图标完全一样，所以非常具有隐蔽性。 　　用户一旦双击伪装成文件夹的病毒文件，病毒文件立即将自已复制成当前系统的Windows安装路径下的svchost.exe（如C：＼WINDOWS＼svchost.exe，而真正的操作系统核心服务文件在C：＼WINDOWS＼SYSTEM32，已经存在目标文件时，不再重复复制和加载），并且常驻内存运行，并修改注册表，禁用注册表工具（注册表位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼System＼DisableRegistryTools）、禁止修改文件夹选项（注册表位置：HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Advanced＼Folder＼Hidden＼SHOWALL＼CheckedValue），使得用户即使已经察觉感染病毒、文件夹被恶意隐藏，想通过“文件夹选项”来打开“显示所有文件和文件夹”功能，但点击确定之后无任何效果，接下来病毒将系统分区以外的磁盘根目录下的文件夹强行隐藏，并为每一个隐藏的文件夹生成一个141KB（文件大小随其他变种而变化）的可执行病毒文件，文件名与被隐藏的文件夹同名，由于该病毒并不感染系统分区根目录文件，且将其常驻内存的进程名伪装成系统的核心服务名svchost.exe，更加增强了其隐蔽性。 　　当后台进程一旦检测有U盘插入，立即像感染其他磁盘一样，将其所有根目录文件夹逐一进行隐藏与伪装，当目录U盘病毒文件被使用到其他计算机点击运行时，上述的病毒文件的自动处理过程就达到了病毒以U盘传播的最终目的。 　　3 隐藏文件夹病毒的特征与识别 　　当我们的系统感染了该种隐藏文件夹病毒之后，会发现从一些应用软件的“文件”菜单下的“打开”项已经找不到自己熟悉的文件；当需要文件交换时，我们从电脑中复制的只是一个141KB的病毒文件，真正的资料被隐藏在根目录的文件夹中。 　　一般来说，感染了该病毒有几种特征。 　　1）系统进程中有以当前用户名加载的svchost.exe进程名。 　　2）系统分区的Windows文件夹（即Windows的安装目录）有隐藏的svchost.exe文件（需通过修复被病毒恶意屏蔽的注册表选项后才能显示）。 　　3）无法通过菜单“工具”-“文件夹选项”-“查看”来显示具有隐藏属性的文件和文件夹。 　　4）无法使用Regedit.exe工具进行注册表编辑。 　　5） 在资源管理器窗口以“详细信息”方式查看系统分区以外的磁盘根目录文件时，显示图标为文件夹的项目大小为141KB，类型为应用程序，如图1所示。 　　4 隐藏文件夹病毒手动查杀 　　弄清楚隐藏文件夹病毒在Windows 系统中的传播机制和表现特征后，我们就能对症下药进行防治了，当然最直接的方法是下载最新的杀毒软件进行查杀，经过多款杀毒软件的实际验证，国内一些软件金山毒霸、360杀毒等都能有效地查杀该种病毒，但在一些大型企业内网中统一布署的赛门铁克终端保护（Symantec EndPoint Protection V12.1）并不能对该类U盘病毒