当前一种通过隐藏移动磁盘文件夹,创建图标为“文件夹”且与被隐藏文件夹同名.exe文件的病毒正在校园网内广泛流行。由于此病毒主要以恶作剧为目的,没有发现其他破坏情况(也可能尚处于隐蔽期,尚未发作)广大杀毒软件不能正确识别和清除,因此难以有效遏制其传播,从而导致部分初级用户甚至因为无法解决此问题而被迫格式化磁盘。
笔者对这个病毒也颇感头疼,更重要的是,由于病毒感染计算机后使用随机目录名,笔者的手动清除经验难以形成有效的通用解决办法,从而难以传授给普通用户。对此,笔者对该病毒进行了深入研究,归纳整理了一套解决办法。
一、病毒主要工作机理
1、无毒移动磁盘插入染毒计算机后,加载在进程中的病毒首先利用遍历算法在移动磁盘各分区根目录写入两个文件,autorun.inf和Recycled.exe,前者指向后者,以便后者能自动执行。后者图标为“文件夹”使它看起来就像“回收站”,该文件尺寸为1.19MB。
2、接下来遍历移动磁盘各分区的ROOT区,隐藏所有属性为“目录”的文件(Windows称之为“文件夹”的玩意),同时创建Recycled.exe的若干个副本,其特点为:文件名与被隐藏目录相同,图标为“文件夹”,尺寸1.19MB。双击这些文件可打开被隐藏的相应目录。
3、受感染的磁盘转入正常计算机时,由于用户通常都是双击磁盘图标打开相应分区,从而激活autorun.inf并执行Recycled.exe文件,向正常计算机%windir%\system32写入一个文件名随机的隐藏目录,目录内隐藏病毒体——图标类似Visual BASIC编译产生的.exe文件,并在“C:\Documents
and Settings\\「开始」菜单\程序\启动”当中添加一个快捷方式,使之指向病毒体。此随机目录名称看起来很像一个十六进制数,即不会出现A7D8ZX之类名称,但肯定会出现A7D8EF之类文件名。
4、该病毒体没有使用当前流行木马、病毒采用的自我保护机制,很容易被手工清除,也许正是这个原因,杀毒软件不报不杀,偶尔报告的只是把autorun.inf给清除掉。从而导致其大面积传播。
二、病毒发生作用的原因
默认Windows XP用户都不会显示隐藏、系统属性的文件,且文件扩展名被隐藏。因此,隐藏的目录变得不可见。即使autorun.inf被杀毒软件清除,但由于假扮的目录存在,大部分用户仍有可能误执行病毒体,从而导致病毒清除中只要漏杀一个移动磁盘,病毒立刻卷土重来。
三、网上解决办法的失误
笔者搜索了互联网,目前找到的方法都是介绍如何清除移动磁盘上的病毒体并恢复数据,却很少提及如何防范与清除病毒本体的方法。因此,即使初级用户了解到如何上网求助,却未必能够彻底清除自己计算机上的病毒,从而不断发生清除后再次受到感染的现象,以至于部分用户不得不格式化硬盘、或者用还原磁盘镜像方式覆盖式重新安装系统。但是,前面说了,只要漏杀一个移动磁盘,很快病毒就会卷土重来。
四、解决方案
笔者提出的解决方案是“防杀结合”。“防”指防范,我们在计算机上操作移动磁盘前,必须检查计算机是否已经感染病毒;“杀”指手工清除,主要针对具备较高计算机应用能力的用户或者计算机系统管理员、各机房、多媒体教室管理员。同时,普通用户也通过本方案了解如何判断自己使用的移动磁盘已经受到感染。
首先,插入移动磁盘前,务必确认宿主计算机未感染病毒。解决办法如下:
1、查看任务管理器,进程中如果存在一个文件名看起来就像一个3字节的十六进制数的进程(名称6个字符,构成字符在0~9,ABCDEF范围内),请务必使用“结束进程树”将其结束。某些计算机当中可能不仅仅有一个这样的进程,也请一并结束。
2、如果该计算机C盘被还原卡保护,请不必管它,反正现在你插入移动磁盘是安全的了。
其次,如果未进行上述检查就已经插入移动磁盘,请这样检查你的磁盘是否已被感染。
1、默认的文件夹视图通常都是“图标”,在这个状态下,我们无法区分一个图标是“文件夹”的玩意,到底是不是一个真正的文件夹(我还是喜欢管它叫“目录”,微软搞出“文件夹”这名字特拗口)。
图1 默认的文件夹视图
2、这时候,我们需要修改默认的文件夹视图为“详细信息”(图2)。
图2 更改默认视图
3、更改文件夹视图后,我们可以清晰的区分文件和文件夹(图3)。
图3 “详细信息”视图
文件夹在“大小”列是没有数值的,而文件则会有数值,如果上述视图变成这个模样(图4),那么恭喜你,你中毒了!
图4 中毒的迹象
注意图3与图4的区别,图标、尺寸、类型已经暴露了图标是文件夹但其实是病毒体的“qemumanager40”。如果此时你设置了“显示隐藏文件”和“显示文件扩展名”,你会发现这样的现象(图5)。
图5 显示隐藏文件和文件扩展名的文件视图
毫无疑问,这个“qemumanager40.exe”就是病毒体,而真正的“qemumanager40”文件夹已经被病毒隐藏。因此,当我们使用“详细信息”视图时看到图标是“文件夹”的应用程序,其尺寸为1.19MB(或者从1196KB~1200KB左右)时,请毫不犹豫地选择并删除它。
然后,去除被隐藏文件夹的“隐藏”属性即可。
五、手工清除步骤
1、请系统管理员继续做下去,通常系统管理员的计算机应用水平都比较高,我们就简而言之吧。
首先是设置,最好能保证你提供给别人使用的公共计算机的C盘是得到保护的。当然,若是染了毒,至少重新启动前,它还是不安全的。因此,请把所有文件夹的默认视图改为“详细信息”,并且显示隐藏文件和文件扩展名。
图6 文件夹选项
设置好一个文件夹视图后,在图6把它“应用到所文件夹”并确认“高级选项”类似图6那样。
2、到%windir%\system32下,按“修改时间”对目录逆向排序,删除最近创建的,目录名看起来像十六进制数的隐藏目录。
3、在你的FTP服务器当中给用户留下一个批处理文件,名称叫什么不重要,重要的是内容。图7是笔者设计的批处理文件内容:
图7 免疫程序的内容
它的作用是利用不可删除的autorun.inf目录和recycled.exe目录来避免autorun.inf文件和recycled.exe文件被病毒创建,从而保证移动磁盘即使受到感染,也不会自动执行。当用户双击磁盘盘符打开时,不会激活autorun.inf文件并执行recycled.exe,从而保证你管理的电脑不被带毒磁盘感染,变成“病毒传播机”。
本文提到的免疫程序,校园网用户请到ftp://192.168.10.5/incoming当中下载。
4、最后,告诫你的用户,在目前病毒高发的时代,使用右键菜单的“资源管理器”打开磁盘,远比双击磁盘名称打开更为安全。
温馨提示:答案为网友推荐,仅供参考