文件夾模仿者腳本病毒的分析和專(zhuān)殺程序的設(shè)計(jì)

馬正軍

摘要：近期，機(jī)房中出現(xiàn)了一些病毒，這些病毒被觸發(fā)后可以隱藏掉用戶(hù)的文件，而只顯示一些指向病毒體的快捷方式，而且這些快捷方式偽裝成用戶(hù)的文件夾，因此誤導(dǎo)用戶(hù)點(diǎn)擊從而觸發(fā)病毒，或者使用戶(hù)誤拷貝了這些病毒產(chǎn)物，而失去了真正需要拷貝的軟件或資料。

關(guān)鍵詞：文件夾模仿者 腳本病毒 專(zhuān)殺

中圖分類(lèi)號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）08-0192-01

1 病毒發(fā)現(xiàn)

有師生向我詢(xún)問(wèn)，為什么有用的資料老被殺毒軟件誤殺？我把他的U盤(pán)插到我電腦上后，我打開(kāi)u盤(pán)，殺毒軟件顯示警報(bào)，我一看文件擴(kuò)展名，是.INK，該快捷方式指向一個(gè)VBS腳本。同時(shí)，U盤(pán)里已經(jīng)顯示出了一堆具有隱藏屬性的文件夾。于是，我對(duì)他說(shuō)這個(gè)確實(shí)是病毒，你真正的文件在這里，被病毒隱藏了。但是，問(wèn)題出現(xiàn)了，殺掉病毒容易，可以通過(guò)殺毒軟件，但是想要恢復(fù)這些被隱藏的文件，卻不簡(jiǎn)單，因?yàn)槲覀凕c(diǎn)擊右鍵后，隱藏屬性前面的復(fù)選框是灰色的，無(wú)法選擇。憑經(jīng)驗(yàn)，我知道這個(gè)是病毒給它添加了系統(tǒng)屬性，因此不能直接通過(guò)右鍵去修改屬性，只能通過(guò)命令行提示CMD.EXE的ATTRIB命令去修改屬性，于是，我想到了用批處理程序?qū)憘€(gè)專(zhuān)殺工具。

2 病毒分析

2.1 病毒的觸發(fā)方式

病毒有兩種觸發(fā)方式、第一種觸發(fā)方式，通過(guò)Autorun.Inf可以觸發(fā)，windows xp老用戶(hù)都知道，如果在磁盤(pán)根目錄下放一個(gè)Autorun.Inf文件，通過(guò)在里面設(shè)置自動(dòng)運(yùn)行語(yǔ)句，即可在用戶(hù)雙擊磁盤(pán)時(shí)運(yùn)行我們指定的程序。這個(gè)病毒就是利用這個(gè)原理，在用戶(hù)雙擊盤(pán)符時(shí)運(yùn)行它。第二種觸發(fā)方式是，病毒創(chuàng)建的指向病毒的快捷方式偽裝成文件夾，并且名稱(chēng)和用戶(hù)的文件夾名稱(chēng)相同，誘導(dǎo)用戶(hù)雙擊打開(kāi)，即可運(yùn)行該病毒。

2.2 病毒的傳播方式

病毒通過(guò)在U盤(pán)根目錄下生成病毒本體和偽裝成文件夾的指向病毒的快捷方式，以及生成指向病毒的Autorun.inf文件來(lái)觸發(fā)病毒。

2.3 病毒的自啟動(dòng)

病毒通過(guò)注冊(cè)表項(xiàng)使之能夠自己隨操作系統(tǒng)啟動(dòng)。該注冊(cè)表項(xiàng)是“[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼ Windows＼CurrentVersion＼Run]”。

3 專(zhuān)殺程序的設(shè)計(jì)

專(zhuān)殺程序用批處理程序.bat來(lái)編寫(xiě)，這是因?yàn)榕幚沓绦蛴糜浭卤揪庉嫞挥镁幾g，可以直接調(diào)用常見(jiàn)程序的命令行格式，非常方便。

專(zhuān)殺程序從殺除病毒本體及其生成文件、恢復(fù)用戶(hù)文件、刪除病毒啟動(dòng)項(xiàng)三個(gè)方面徹底清除病毒及其殘留，并且恢復(fù)用戶(hù)文件。

3.1 殺除病毒及其創(chuàng)建的快捷方式，刪除Autorun.inf

首先，要利用Attrib命令恢復(fù)文件的屬性，去掉它的隱藏屬性和系統(tǒng)屬性，以便我們對(duì)它進(jìn)行清理。這里我們要使用通配符“*”，它可以用來(lái)代替文件名中的任意個(gè)英文或數(shù)字字符。

利用del命令刪除所有病毒腳本及其快捷方式，病毒腳本采用vbscript編寫(xiě)，因此，擴(kuò)展名是.vbs，由于病毒名是隨機(jī)的，不是固定的，所以我們用*.vbs來(lái)代替所有病毒文件名，這樣的副作用是刪除U盤(pán)里所有的VBS文件，包括用戶(hù)自己編寫(xiě)的VBS文件。不過(guò)，我們學(xué)校沒(méi)有開(kāi)設(shè)vbscript課程，一般情況下也沒(méi)有學(xué)生學(xué)習(xí)這個(gè)語(yǔ)言，所以這個(gè)副作用可以忽略不計(jì)。

快捷方式文件的擴(kuò)展名看不到，但是實(shí)際上，它是有擴(kuò)展名的，就是.INK，因此，可以用*.Ink來(lái)表示所有的快捷方式文件。

/Q表示是安靜模式，刪除不要求確認(rèn)。

把本程序放到U盤(pán)里，然后雙擊執(zhí)行，這樣當(dāng)前目錄就是U盤(pán)所在盤(pán)符，因此我們不需要再加路徑。

Attrib *.vbs –s –h

Attrib *.Ink –s –h

Attrib autorun.inf –s –h

Del autorun.inf /q

Del *.vbs /q

Del *.ink /q

3.2 恢復(fù)用戶(hù)文件

由于用戶(hù)文件被隱藏，因此我們要恢復(fù)出所有被病毒隱藏的文件和文件夾，即把這些文件或文件夾去掉隱藏和系統(tǒng)屬性。這里同樣是用ATTRIB命令，不同的是這里我們要處理文件夾，所以加上/S /D 參數(shù)，讓它能夠處理文件夾。

Attrib /D /S * -S –H

3.3 刪除啟動(dòng)項(xiàng)

病毒或木馬一般都會(huì)通過(guò)修改注冊(cè)表等操作來(lái)實(shí)現(xiàn)開(kāi)機(jī)自動(dòng)啟動(dòng)，本文所分析的病毒就是通過(guò)注冊(cè)表項(xiàng)“[HKEY_LOCAL _MACHINE＼SOFTWARE＼Microsoft＼Windows＼

CurrentVersion＼Run]”來(lái)啟動(dòng)。因此，我們要去掉該腳本病毒在注冊(cè)表中的啟動(dòng)項(xiàng)。

Reg命令用來(lái)對(duì)注冊(cè)表進(jìn)行修改，reg delete子命令用來(lái)刪除注冊(cè)表中的項(xiàng)或值。/f用來(lái)強(qiáng)行刪除不提示。HKLM表示”HKEY_LOCAL_MACHINE”根鍵。

Reg delete Hklm＼SOFTWARE＼Microsoft＼Windows＼ CurrentVersion＼Run＼qqpctray /va /F

4 實(shí)際效果測(cè)試

把這些代碼在記事本上輸入后，保存為“zhuansha.bat”，如果有人U盤(pán)中此病毒，把本程序放到中毒U盤(pán)中，運(yùn)行它即可殺掉該腳本病毒并恢復(fù)被隱藏的文件和文件夾。經(jīng)實(shí)際檢驗(yàn)，它能夠起到清除病毒并恢復(fù)文件的目的。endprint