一种隐藏文件夹病毒的分析与防治
时间:2022-08-10 05:17:19
【 摘 要 】 随着计算机技术的发展,在网络环境和移动存储大量使用的背景下,计算机病毒的防治面临越来越严峻的形势。近期某企业内网系统一种隐藏文件夹病毒随着优盘等移动存储设备的交互使用,导致一些内网计算机被大面积感染,不但影响系统文件交换,还可能导致用户资料被窃取、商业机密外泄,通过对该计算机病毒的感染原理、传播方式、危害表现、防治等进行了深入的分析、探讨,并用Delphi编写了有针对性的专杀工具,从而达到计算机病毒防治的最终目的。
【 关键词 】 计算机病毒;隐藏文件夹;防治;Delphi
1 引言
随着计算机技术的不断发展,计算机病毒的种类也是推陈出新,也使得我们对其防范的难度越来越大,只要我们努力地去了解计算机病毒的各种特点、原理,就能从根本上去防范和治理它。现在以一种在内网计算机Windows操作系统中大量传播的隐藏文件夹病毒进行防治探讨。
2 隐藏文件夹病毒感染机理
该种隐藏文件夹病毒属于U盘病毒的一种,对于大多数U盘病毒来说都是通过系统的自动播放功能打开U盘时自动运行病毒程序,从而将病毒传播到操作系统中。在现有各种安全软件都普遍封杀Autorun机制的背景下,该种病毒利用的是将优盘或本地磁盘系统盘以外的分区根目录文件夹强行隐藏,为每一个隐藏的文件夹生成一个141KB的可执行病毒文件(文件大小随其他变种而变化),文件名与被隐藏的文件夹同名,且由于该病毒文件伪装的图标与普通文件夹图标完全一样,所以非常具有隐蔽性。
用户一旦双击伪装成文件夹的病毒文件,病毒文件立即将自已复制成当前系统的Windows安装路径下的svchost.exe(如C:\WINDOWS\svchost.exe,而真正的操作系统核心服务文件在C:\WINDOWS\SYSTEM32,已经存在目标文件时,不再重复复制和加载),并且常驻内存运行,并修改注册表,禁用注册表工具(注册表位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools)、禁止修改文件夹选项(注册表位置:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue),使得用户即使已经察觉感染病毒、文件夹被恶意隐藏,想通过“文件夹选项”来打开“显示所有文件和文件夹”功能,但点击确定之后无任何效果,接下来病毒将系统分区以外的磁盘根目录下的文件夹强行隐藏,并为每一个隐藏的文件夹生成一个141KB(文件大小随其他变种而变化)的可执行病毒文件,文件名与被隐藏的文件夹同名,由于该病毒并不感染系统分区根目录文件,且将其常驻内存的进程名伪装成系统的核心服务名svchost.exe,更加增强了其隐蔽性。
当后台进程一旦检测有U盘插入,立即像感染其他磁盘一样,将其所有根目录文件夹逐一进行隐藏与伪装,当目录U盘病毒文件被使用到其他计算机点击运行时,上述的病毒文件的自动处理过程就达到了病毒以U盘传播的最终目的。
3 隐藏文件夹病毒的特征与识别
当我们的系统感染了该种隐藏文件夹病毒之后,会发现从一些应用软件的“文件”菜单下的“打开”项已经找不到自己熟悉的文件;当需要文件交换时,我们从电脑中复制的只是一个141KB的病毒文件,真正的资料被隐藏在根目录的文件夹中。
一般来说,感染了该病毒有几种特征。
1)系统进程中有以当前用户名加载的svchost.exe进程名。
2)系统分区的Windows文件夹(即Windows的安装目录)有隐藏的svchost.exe文件(需通过修复被病毒恶意屏蔽的注册表选项后才能显示)。
3)无法通过菜单“工具”-“文件夹选项”-“查看”来显示具有隐藏属性的文件和文件夹。
4)无法使用Regedit.exe工具进行注册表编辑。
5) 在资源管理器窗口以“详细信息”方式查看系统分区以外的磁盘根目录文件时,显示图标为文件夹的项目大小为141KB,类型为应用程序,如图1所示。
4 隐藏文件夹病毒手动查杀
弄清楚隐藏文件夹病毒在Windows 系统中的传播机制和表现特征后,我们就能对症下药进行防治了,当然最直接的方法是下载最新的杀毒软件进行查杀,经过多款杀毒软件的实际验证,国内一些软件金山毒霸、360杀毒等都能有效地查杀该种病毒,但在一些大型企业内网中统一布署的赛门铁克终端保护(Symantec EndPoint Protection V12.1)并不能对该类U盘病毒有效拦截,从而导致该病毒在企业内网计算机终端大面积感染和传播,必须进行手动查杀,这也是本文防治的重点。
对于该类病毒,不能只是简单的进行伪装141KB病毒文件删除、隐藏文件夹的恢复、注册表选项的修复操作,这样并不能从根源上断开隐藏文件夹传播的路径,你将发现刚才已经删除的病毒和恢复的隐藏文件夹,仅仅在几秒钟之内就被重新隐藏和伪装。斩草须除根,上文说到,该病毒在恶意隐藏文件夹之前,检测系统安装路径(如C:\WINDOWS)中是否存在名为svchost.exe的染毒文件,之后再加载至内存中运行。这样我们的查杀思路整理如下:结束伪装成系统核心服务的svchost.exe进程(对应用户名为当前用户名)删除系统安装路径下的病毒文件svchost.exe修复注册表选项删除被感染磁盘根目录141KB的病毒文件恢复隐藏的资料文件夹。
具体操作如下:
1)打开任务管理器,结束加载用户名为当前登录用户的svchost.exe进程。
2)因为系统安装路径下的病毒文件也被隐藏,可以通过命令行窗口来实现,在系统安装路径下执行(以系统安装在C盘为例,单击“开始”-“运行”-输入“cmd”,进入命令提示符,输入“CD \WINDOWS”,如果使用attrib命令未达到预期目的,可待第3步修复注册表选项,显示该隐藏的病毒文件后再删除)。
C:\WINDOWS>attrib -h -s -r svchost.exe
C:\WINDOWS>del svchost.exe
3)修复注册表选项。解除禁用注册表工具:单击“开始”-“运行”,在对话框中输入“reg delete hkcu\software\microsoft\windows\currentversion\policies\system /v disableregistrytools /f”(引号中的全部内容,不要引号),单击“确定”。
显示所有文件和文件夹:打开注册编辑器,将以下注册表位置的“CheckedValue”十六进制值修改为“1”,就能通过文件夹选项显示所有文件和文件夹了。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
4)打开“我的电脑”,打开被感染的磁盘分区根目录,以“详细信息”方式查看,将所有显示图标为文件夹样式、大小为141KB、类型为应用程序的项目彻底删除。
5)恢复被隐藏的文件夹。因为无法在“我的电脑”窗口进行文件夹的图形化恢复操作,需要在命令行窗口进入需要操作的磁盘根目录,运行以下命令:for /f "delims=" %a in ('dir /b /adh') do (attrib -s -r -h "%a")。这样,系统中的隐藏文件夹病毒就被彻底清除了。
5 隐藏文件夹病毒免疫
经过多次实验证实,我们可以利用该病毒的不重复加载特性来实现系统的免疫功能,让病毒无法在系统安装路径下放置病毒文件svchost.exe,操作如下:在系统安装路径下(例C:\WINDOWS)新建文件夹,改名为svchost.exe,并设置隐藏、只读、系统属性,以防止被意外删除。
经过上述免疫操作后,实验证实即使运行了伪装的病毒可执行文件,也不在系统中继续感染传播,也未自动加载病毒进程,完全达到了免疫的目的。
6 编写隐藏文件夹病毒专杀工具
当然对于大多数没有太多安全经验的用户来说,手动清理会觉得比较复杂,还是使用专杀工具来阻击U盘病毒最为方便和直接,笔者利用Delphi编写了一个针对此种141KB隐藏文件夹病毒的专杀工具,经过反复测试和使用,效果不错,下面就来阐述一下该工具的查杀原理。
1)程序加载后检测系统进程,如有以当前用户名运行的svchost.exe进程,获取其进程ID并结束它。
2)检测系统分区的WINDOWS安装路径下,利用文件查找的方法查找大小为141KB的可执行文件,如存在则修改该文件属性为普通存档,并删除它。
3)检测系统注册表中的“注册表管理工具”和“显示所有文件和文件夹”选项是否被恶意修改,并自动修复。
4)在系统安装路径下创建名为svchost.exe的免疫文件夹,修改其属性为隐藏+只读+系统。
5)获取当前系统驱动器列表,点击“一键清理”将自动对除系统分区以外的所有磁盘(包括可移动磁盘)进行删除141KB病毒文件、逐一恢复被隐藏的文件夹(可实现手动对某一磁盘进行查杀)。
6)专杀工具有实时监测可移动磁盘插入或拨出动作的功能。
7)所有对系统的操作都在日志列表中以不同字体颜色列出,正常操作为绿色,发现异常、病毒查杀操作为红色,一般日志为黑色,如图2所示。
参考文献
[1] 赖英旭.计算机病毒与防范技术.清华大学出版社,2011.
[2] 韩筱卿.计算机病毒分析与防范大全.电子工业出版社,2006.
[3] 肖雪莲.Delphi技术手册.中国电力出版社,2001.
作者简介:
肖红辉(1977-),男,湖南资兴人,本科,助理工程师;主要研究方向:电力通信、调度自动化、信息安全。
