文件夹病毒 网络安全教材.pptVIP

;文件夹EXE病毒;病毒名称：“文件夹.EXE”病毒； 病毒别称：Worm.Win32.AutoRun.soq； 病毒类型：蠕虫； 病毒长度：1,415,094 字节； 病毒 MD5：afb08df3fef57788d839bc02f14b2159 危害等级：★★★ 感染系统：Windows 系统； 开发工具：《E语言》；;病毒行为分析;回收站的文件夹“RECYCLER”只有在NTFS格式文件系统的磁盘分区根目录下才会出现，该文件夹内存储着各个用户的回收站。;然后会获取要感染计算机的系统目录，获取后会在“C:\WINDOWS\system32”系统目录下创建一个6位随机数字、字母组成的文件夹，文件夹的属性是“只读”、“系统”和“隐藏”的文件属性，本次测试病毒创建的文件夹名称是“5A8DCC”。病毒成功创建文件夹“5A8DCC”之后，将释放在“C:\Documents and Settings\Administrator（受害者的用户名）\Local Settings\Temp\E_N4”临时文件夹目录下的9个病毒组件复制到“C:\WINDOWS\system32\5A8DCC”目录下。;随后还会在“C:\WINDOWS\system32”系统目录下创建一个6位随机数字、字母组成的文件夹，文件夹的属性是“只读”、“系统”和“隐藏”的文件属性，本次测试病毒创建的文件夹名称是“ACF7EF”。再在该文件夹下面创建一个6位随机数字、字母组成的病毒主体程序，本次测试病毒创建的病毒主体程序名称是“74BE16.EXE”，文件属性是“只读”、“系统”和“隐藏”的文件属性。如图，病毒路径：“C:\WINDOWS\system32\ACF7EF\74BE16.EXE”。;之后给病毒主体程序“74BE16.EXE”创建一个随机启动项，在注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”分支下创建一个与病毒主体程序“74BE16.EXE”名称相同的字符串值“74BE16”，数值数据指向病毒主体程序的路径位置“C:\WINDOWS\system32\ACF7EF\74BE16.EXE”。;再在“C:\Documents and Settings\Administrator（受害者的用户名）\「开始」菜单\程序\启动”目录下创建一个指向病毒主体程序“74BE16.EXE”的快捷方式“74BE16.lnk”。;这是“文件夹.EXE”病毒的另外一个启动项，也就是自启动项“开始菜单”-----“所有程序(P)”-----“启动”目录下随计算机启动被执行的。;最后，病毒程序“74BE16.EXE”被执行到系统中去运行，例如通过DOS命令查看“shell.fne”是否被插入到???程被运行，在“命令提示符”的黑色窗口里面输入“TASKLIST /M shell.fne”可以查看到病毒模块“shell.fne”已被病毒调入到病毒进程“74BE16.lnk”中去运行了。;　“文件夹.EXE”病毒运行后，会检测是否存在可移动磁盘，如插有可移动磁盘并对其感染。另外还检查可移动磁盘分区根目录下的文件夹，然后复制这些文件夹的名称伪装创建一个与其同名的病毒程序，就连程序图标也是模仿文件夹的图标，然后将被模仿的那个文件夹属性设为“隐藏”。伪造文件夹的病毒程序大小与“文件夹.EXE”病毒样本的大小相同都是“1.34 MB”，而且文件属性均被病毒设置为“只读”和“系统”的文件属性。如果运行这些伪造文件夹的病毒程序就会重新释放病毒，同时也会打开被隐藏的真实原有文件夹，一般用户根本查觉不到病毒活动。如图，这是“文件夹.EXE”病毒感染了的手机内存卡。;尤其是新安装的操作系统（这里指未修改过的盗版系统），“系统”和“隐藏”属性的文件和文件夹是不被显示的，而且已知文件类型的扩展名也是被隐藏的。这样，“文件夹.EXE”病毒伪装文件夹的病毒程序根本和文件夹无任何区别，再加上无意中打开这些“文件夹.EXE”病毒程序还会打开被隐藏的真实原有文件夹，所以电脑新手很容易被迷惑。;病毒进程“74BE16.EXE”还会连接黑客服务器下载病毒相关程序，下载下来后运行它们。例如下载两个病毒程序到病毒文件夹“5A8DCC”的目录下，本次测试病毒下载的病毒程序名称分别是“PIAA4B2.EXE”和“ZD269.EXE”，文件属性是“只读”、“系统”和“隐藏”的文件属性。。;“文件夹.EXE”病毒还会每隔一段时间打开浏览器来访问某家网站做广告宣传，类似于“广告木马”。如上就是弹出的一个“钓鱼网站”;该病毒还会每隔一段时间收集一次受害者的隐私信息，就是受害者使用计算机的一切活动，类似于“间谍”程序。 “文件夹.EXE”病毒在“C: