馬正軍

摘要：近期，機房中出現(xiàn)了一些病毒，這些病毒被觸發(fā)后可以隱藏掉用戶的文件，而只顯示一些指向病毒體的快捷方式，而且這些快捷方式偽裝成用戶的文件夾，因此誤導(dǎo)用戶點擊從而觸發(fā)病毒，或者使用戶誤拷貝了這些病毒產(chǎn)物，而失去了真正需要拷貝的軟件或資料。

關(guān)鍵詞：文件夾模仿者 腳本病毒 專殺

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2014）08-0192-01

1 病毒發(fā)現(xiàn)

有師生向我詢問，為什么有用的資料老被殺毒軟件誤殺？我把他的U盤插到我電腦上后，我打開u盤，殺毒軟件顯示警報，我一看文件擴(kuò)展名，是.INK，該快捷方式指向一個VBS腳本。同時，U盤里已經(jīng)顯示出了一堆具有隱藏屬性的文件夾。于是，我對他說這個確實是病毒，你真正的文件在這里，被病毒隱藏了。但是，問題出現(xiàn)了，殺掉病毒容易，可以通過殺毒軟件，但是想要恢復(fù)這些被隱藏的文件，卻不簡單，因為我們點擊右鍵后，隱藏屬性前面的復(fù)選框是灰色的，無法選擇。憑經(jīng)驗，我知道這個是病毒給它添加了系統(tǒng)屬性，因此不能直接通過右鍵去修改屬性，只能通過命令行提示CMD.EXE的ATTRIB命令去修改屬性，于是，我想到了用批處理程序?qū)憘€專殺工具。

2 病毒分析

2.1 病毒的觸發(fā)方式

病毒有兩種觸發(fā)方式、第一種觸發(fā)方式，通過Autorun.Inf可以觸發(fā)，windows xp老用戶都知道，如果在磁盤根目錄下放一個Autorun.Inf文件，通過在里面設(shè)置自動運行語句，即可在用戶雙擊磁盤時運行我們指定的程序。這個病毒就是利用這個原理，在用戶雙擊盤符時運行它。第二種觸發(fā)方式是，病毒創(chuàng)建的指向病毒的快捷方式偽裝成文件夾，并且名稱和用戶的文件夾名稱相同，誘導(dǎo)用戶雙擊打開，即可運行該病毒。

2.2 病毒的傳播方式

病毒通過在U盤根目錄下生成病毒本體和偽裝成文件夾的指向病毒的快捷方式，以及生成指向病毒的Autorun.inf文件來觸發(fā)病毒。

2.3 病毒的自啟動

病毒通過注冊表項使之能夠自己隨操作系統(tǒng)啟動。該注冊表項是“[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼ Windows＼CurrentVersion＼Run]”。

3 專殺程序的設(shè)計

專殺程序用批處理程序.bat來編寫，這是因為批處理程序用記事本編輯，不用編譯，可以直接調(diào)用常見程序的命令行格式，非常方便。

專殺程序從殺除病毒本體及其生成文件、恢復(fù)用戶文件、刪除病毒啟動項三個方面徹底清除病毒及其殘留，并且恢復(fù)用戶文件。

3.1 殺除病毒及其創(chuàng)建的快捷方式，刪除Autorun.inf

首先，要利用Attrib命令恢復(fù)文件的屬性，去掉它的隱藏屬性和系統(tǒng)屬性，以便我們對它進(jìn)行清理。這里我們要使用通配符“*”，它可以用來代替文件名中的任意個英文或數(shù)字字符。

利用del命令刪除所有病毒腳本及其快捷方式，病毒腳本采用vbscript編寫，因此，擴(kuò)展名是.vbs，由于病毒名是隨機的，不是固定的，所以我們用*.vbs來代替所有病毒文件名，這樣的副作用是刪除U盤里所有的VBS文件，包括用戶自己編寫的VBS文件。不過，我們學(xué)校沒有開設(shè)vbscript課程，一般情況下也沒有學(xué)生學(xué)習(xí)這個語言，所以這個副作用可以忽略不計。

快捷方式文件的擴(kuò)展名看不到，但是實際上，它是有擴(kuò)展名的，就是.INK，因此，可以用*.Ink來表示所有的快捷方式文件。

/Q表示是安靜模式，刪除不要求確認(rèn)。

把本程序放到U盤里，然后雙擊執(zhí)行，這樣當(dāng)前目錄就是U盤所在盤符，因此我們不需要再加路徑。

Attrib *.vbs –s –h

Attrib *.Ink –s –h

Attrib autorun.inf –s –h

Del autorun.inf /q

Del *.vbs /q

Del *.ink /q

3.2 恢復(fù)用戶文件

由于用戶文件被隱藏，因此我們要恢復(fù)出所有被病毒隱藏的文件和文件夾，即把這些文件或文件夾去掉隱藏和系統(tǒng)屬性。這里同樣是用ATTRIB命令，不同的是這里我們要處理文件夾，所以加上/S /D 參數(shù)，讓它能夠處理文件夾。

Attrib /D /S * -S –H

3.3 刪除啟動項

病毒或木馬一般都會通過修改注冊表等操作來實現(xiàn)開機自動啟動，本文所分析的病毒就是通過注冊表項“[HKEY_LOCAL _MACHINE＼SOFTWARE＼Microsoft＼Windows＼

CurrentVersion＼Run]”來啟動。因此，我們要去掉該腳本病毒在注冊表中的啟動項。

Reg命令用來對注冊表進(jìn)行修改，reg delete子命令用來刪除注冊表中的項或值。/f用來強行刪除不提示。HKLM表示”HKEY_LOCAL_MACHINE”根鍵。

Reg delete Hklm＼SOFTWARE＼Microsoft＼Windows＼ CurrentVersion＼Run＼qqpctray /va /F

4 實際效果測試

把這些代碼在記事本上輸入后，保存為“zhuansha.bat”，如果有人U盤中此病毒，把本程序放到中毒U盤中，運行它即可殺掉該腳本病毒并恢復(fù)被隱藏的文件和文件夾。經(jīng)實際檢驗，它能夠起到清除病毒并恢復(fù)文件的目的。endprint