2020年EXE病毒解决办法.pptxVIP

学 海 无 涯 有一种 U 盘病毒感染计算机后，并不是破坏性地全盘感染应用程序，而是使文 件夹全部变成“.exe”可执行程序，这就是“文件夹.EXE”病毒！『“文件夹.EXE”』病毒名称：“文件夹.EXE”病毒；病毒别称：Worm.Win32.AutoRun.soq； 病毒类型：蠕虫；病毒长度：1,415,094 字节；病毒 MD5：afb08df3fef57788d839bc02f14b2159危害等级：★★★感染系统：Windows 系统。 开发工具：《E 语言》“ 文 件 夹 .EXE” 病 毒 行 为 分 析 ： “文件夹.EXE”病毒主要通过可移动磁盘传播。就拿 U 盘为例，一个干净的 U 盘或者未感染的 U 盘插入已被“文件夹.EXE”病毒感染的计算机主机 USB 接口 上以后，病毒会在 U 盘根目录下生成病毒脚本安装文件“autorun.inf”和伪装文 件夹的病毒程序“Recycle.exe”、“ .exe”、“ .exe”、“ .exe”。很显然，“文件夹.EXE”的传播程序“Recycle.exe”的文件名称是在模仿回收站 的文件夹“Recycler ”， 两者名称上就相差一个字母“ r”。回收站的文件夹 “RECYCLER”只有在 NTFS 格式文件系统的磁盘分区根目录下才会出现，该 文件夹内存储着各个用户的回收站。如图，这是打开“文件夹.EXE”的配置文件“autorun.inf”显示的文件命令，意 思是访问该驱动器磁盘分区后自动执行病毒程序“Recycle.exe”，也就是说 “Recycle.exe”是“文件夹.EXE”的病毒样本。被“文件夹.EXE”病毒感染的 U 盘再插入到正常的计算机主机 USB 接口上以后， 只要受害者一打开访问 U 盘，便会感染到计算机上。由于该病毒变种较多，所 以绕过了许多杀毒软件的眼睛。首先会获取要感染计算机的用户临时文件目录，获取后会在这个用户的临时文件 夹“ C:\Documents and Settings\Administrator （ 受 害 者 的 用 户 名 ） \Local Settings\Temp”目录下创建一个名称为“E_N4”的文件夹，并在其目录下释放 9 个病毒组件，分别是“cnvpe.fne”、“dp1.fne”、“eAPI.fne”、“HtmlView.fne”、 “internet.fne”、“krnln.fnr”、“shell.fne”、“spec.fne”，这些扩展名为“.fne”文件 均为“只读”、“系统”和“隐藏”的文件属性。文件夹“E_N4”是“E 语言（即“易语言”）”程序运行时才会产生的临时文件 夹，而后缀名为“.fne”的程序是“E 语言”的支持库文件，不过是已经编译好 的，也就是改了扩展名以后的动态链接库文件“.dll”，由此可以证明“文件夹.EXE” 病毒是使用《易语言》编写的。然后会获取要感染计算机的系统目录，获取后会在“C:\WINDOWS\system32” 系统目录下创建一个 6 位随机数字、字母组成的文件夹，文件夹的属性是“只读”、 “系统”和“隐藏”的文件属性，本次测试病毒创建的文件夹名称是“5A8DCC”。 病毒成功创建文件夹“ 5A8DCC ” 之后， 将释放在“ C:\Documents and Settings\Administrator（受害者的用户名）\Local Settings\Temp\E_N4”临时文件 夹目录下的 9 个病毒组件复制到“C:\WINDOWS\system32\5A8DCC”目录下。学 海 无 涯 随后还会在“C:\WINDOWS\system32”系统目录下创建一个 6 位随机数字、字 母组成的文件夹，文件夹的属性是“只读”、“系统”和“隐藏”的文件属性，本 次测试病毒创建的文件夹名称是“ACF7EF”。再在该文件夹下面创建一个 6 位 随机数字、字母组成的病毒主体程序，本次测试病毒创建的病毒主体程序名称是 “74BE16.EXE”，文件属性是“只读”、“系统”和“隐藏”的文件属性。如图， 病毒路径：“C:\WINDOWS\system32\ACF7EF\74BE16.EXE”。之后给病毒主体程序“ 74BE16.EXE ” 创建一个随机启动项， 在注册表 “ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n” 分支下创建一个与病毒主体程序“ 74BE16.EXE” 名称相同的字符串值 “ 74BE16 ”， 数 值 数 据 指 向 病 毒 主 体 程 序 的 路 径 位 置 “C:\WINDOWS\system32\ACF7EF\74BE16.EXE”。再在“