哇!自七年前学会上网以来,第一次遇到病毒!激动……
起因
事情是这样的:博主刚去学校的打印室打印资料,回来把 U 盘插到自己的电脑上一看,居然 U 盘里所有的文件夹都变成了 .exe 可执行文件!
刚看到这种情况其实我是懵逼的:完了,我是不是遇到加密敲诈病毒了?我 U 盘里的资料怎么办?卧槽我这好不容易做的启动盘又要格式化重新做了?
处理过程
冷静下来一看,发现了破绽!
首先是这几个“文件夹”大小都是 75.6kb
其次是 U 盘的已用空间与之前相比并没有多大出入
这就说明 U 盘里之前的文件其实都还在,只是被暂时隐藏了!
在文件管理器里勾选上“隐藏的项目”
果然,之前 U 盘里的文件妥妥的都在这呢。
病毒分析
用 MD5 效验工具进行检测,发现之前在文件夹里的四个 exe 文件的 MD5 值是完全相同的,这就说明它们其实是同一个病毒。抓取其中的一个,上传到腾讯哈勃分析系统分析,从分析结果中得知其主要行为有这些:
- 创建开机启动
- 劫持windows文件管理器
- 替换QQ重要组件
- 在桌面创建一大堆的网址快捷方式
有了分析报告,就大概地知道这个病毒有什么操作了。
按耐不住好奇之心,我又在隔离沙箱里运行了这个病毒,把它释放的一些文件都收集了出来。
其中释放的快捷方式里的网址已经无法打开。直接百度这个网址,相关的提问都是几年前的,说明这个病毒真的是有一定的历史了……
既然网址都打不开了,这个病毒也失去了它应有的作用。那就玩到这里打止吧。
附件
病毒样本(解压密码 123)
蓝奏云病毒主文件哈勃分析报告
https://habo.qq.com/file/showdetail?md5=c0a5cf24d2a461fbbef12271cf7a57ed
病毒释放的 TaskTray.dll 哈勃分析报告
https://habo.qq.com/file/showdetail?md5=25544c18a0ffaf5af296250e7d1292f4
本文作者为mengkun,转载请注明。
我也有过。。。搞ISO时随便保存个镜像就是这种东西,点一下盘里所以文件夹都变这样
我们小学文印室也是病毒成堆,一个XP系统......上次我们班电脑感染了一个vbs脚本病毒,所有文件都改成一个lnk,真实的隐藏掉了(最后重装的系统),第二次是一个cmd病毒,通过快捷方式调用cmd执行命令......
文印室总是病毒的聚集地[aru_1]
@点石成金其实完全没必要重装系统,用杀毒软件扫一遍一般就能解决了[aru_31]
@mengkun每个老师看到要删除文件都被吓到了。害怕删到课件......
其实这个病毒已经有一些年头了 百科 ,一开始作者开发出来没有啥恶意代码,就是自动生成exe来打开文件夹,后来延伸为创建导航网站的快捷方式
@Domado[aru_16]这个才是,刚才发错了 百度百科
@Domado看这个病毒的图标就知道很古老了[aru_49]
额,上次我也中了这个,原来是病毒。。。
我是5年前才开始上网的,以前只在学校微机室里熟悉了一下怎样开关机 [偷笑]
我的电脑上次中毒就是这个软件所致 http://m.uzzf.com/u/161583
@瀚宇我的电脑还从来没中过毒 [wb_二哈] 一般不是大厂出品的软件我都在 360 的隔离沙箱里运行,妥妥的 #(笑眼)
通过U盘传播,但是xp系统exe的图标(打开后是库)容易混淆但是win7以上就看出来了 我学校的文件夹选项被隐藏 组策略也改不回来 但在吾爱找到一份注册表 打开后可以显示(建议在安全模式下) 还有杀完一遍毒 查看图片
@266277其实只要开了杀毒软件,这类病毒根本就无法施展神通了。我之前把U盘往电脑上一插,杀毒软件就提示 U 盘文件被篡改,是否修复……我是把杀毒软件退掉先放了这病毒一条生路再开始研究的 [呲牙]
老病毒了 文件夹病毒 隐藏的而已 我学校还有这种没网电脑有这病毒 不过被我破了
七八年前就遇到这种病毒了 [骷髅]
@xsj我上网的习惯比较好,所以到今天才第一次真正遇到病毒,还是蛮惊讶的 [偷笑]