“文件夹隐藏者”病毒的分析与处理.docVIP

“文件夹隐藏者”病毒的分析与处理 　　摘要：据反病毒专家介绍，文件夹隐藏者（Trojan）病毒系采用RootKit 技术隐藏自身进程的木马。该木马采用 Delphi 工具编写，以使自己可以与系统一起运行，病毒主要感染Win NT以上的WINDOWS操作系统。该木马文件最大的隐蔽之处就是会遍历硬盘或U盘里面的文件夹，并且将原来的文件夹隐藏起来。 　　关键词：文件夹隐藏者；文件属性；实验教学 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)13-3032-02 　　Analysis and Treatment of the Virus that Hides Folders 　　WANG Mao, LI li-ming, HAN Yao 　　(China University of Geosciences Beijing, Department of Foreign Language, Beijing 100083) 　　Abstract: The antivirus expert said that the Trojan virus that can use the RootKit technology to hide folders processing. The Trojan horse is designed by Delphi that can run with the operation system. The virus mainly infects theWINDOWS operation system whose version is higher than Win NT. The most concealment of The Trojan horse File is going through the folders of the hard disk or U disk and hiding the folders. 　　Key words: the folder hider; attribution of folder; lab teaching 　　1 什么是“文件夹隐藏者”病毒 　　据反病毒专家介绍，文件夹隐藏者（Trojan）病毒系采用RootKit 技术隐藏自身进程的木马。该木马采用 Delphi 工具编写，病毒运行后，将在系统目录下创建大小为36864字节文件sys.exe ，同时在注册表中添加启动项，以使自己可以与系统一起运行，病毒主要感染Win NT以上的WINDOWS操作系统。该木马文件最大的隐蔽之处就是会遍历硬盘或U盘里面的文件夹，并且将原来的文件夹隐藏起来，自身生成一个和原文件夹同名的 .EXE文件，引诱用户点击。该病毒险恶之处在于，如果杀毒软件将这些伪装巧妙的病毒文件删除。 　　2 “文件夹隐藏者”病毒对我校语音室的影响 　　语音室的计算机设备大概是实验室里老师和学生使用U盘频率最高的设备了，对于实验室的病毒处理问题，我们实验室采取了用硬盘保护卡保护C、D盘，开放E盘的方式，这样一旦计算机感染病毒，重启计算机以后C、D盘就没事了，但是E盘还是会被感染。这时候当U盘连接计算机以后，也会感染各类的病毒，通常U盘或者硬动硬盘感染Trojan病毒的概率比较大，通常U盘感染病毒以后，U盘无法进行格式化，如果计算机中Trojan病毒以后，更改”文件夹选项”不会起作用，只有把U盘拿到装有杀毒软件的计算机上进行查杀病毒，U盘上的病毒就会被杀干净，但是有一些病毒会将文件夹的属性更改为“系统文件”、“隐藏”，这样杀毒软件在杀病毒的时候，并不会发现文件的属性被改，这样导致很多老师在上课的时候突然发现自己的文件夹被隐藏了，经常前一天准备的课件，在第二天上课的时候就找不到了，给授课带来了很多不便。 　　3 如何处理“文件夹隐藏者”病毒 　　3.1 常规解决办法及其缺点 　　对于被Trojan病毒修改过属性的文件夹利用cmd.exe程序输入 “attrib 文件名-h-s” 即可恢复文件。如果文件夹的名字含有“－”、“ ”等特殊符号时，在进行处理的时候必须用引号将文夹名字引起来，如：“attrib “Task-based” -h-s”，否则命令不会执行成功。修改文件夹的命令虽然简单，但是当U盘或者移动硬盘里面的文件夹达到几十或者上百个的时候，那么这个工作做起来就费时费力，甚至会与实验室日常的维护工作相冲突，此外很多老师并不是特别熟悉DOS命令，鉴于以上原因，我们用VS2003编制了一个处理这个工作的小程序，以方便我们实验室的日常工作，便于老师自己处理Trojan病毒带来的文件隐藏问题。 　　3.2 现在实验室解决的办法 　　我们采用vs2003编写了