autorun病毒浅析-伪装文件夹

autorun病毒浅析-伪装文件夹
 

今天到实验室回来发现U盘里面有几个怪怪的东东.. 如图1:

因为我电脑一直都是不隐藏文件后缀名的 看到文件夹竟然还带.EXE后缀

我就觉得奇怪了 我尝试去把文件夹后面的.EXE去掉 提示如下图2:

呵呵 这么样我就知道这么回事了 我电脑本身不显示隐藏文件和文件夹

我选择显示所有文件和文件夹 看到我原来的文件夹了.. 如下图3:

看到了这里我以为知道这个病毒的原理是什么样的 哎 可惜猜错了

大家猜猜这个带.EXE后缀的所谓的“文件夹”运行后会出现什么吗?嘿嘿 可以正常看到你原文件夹内容

在我还没有知道我的原本文件夹给隐藏之前 我还以为那带.EXE后缀“文件夹”把我原本内容都放在它里面

所以认为带.EXE后缀的文件夹可以正常运行 而是通过指向隐藏的原本的文件夹 并不是像我之前想的把文件

都放到它里面去而已 在运行这个.EXE带后缀的“文件夹”的同时也运行了这个EXE文件的

(PS:至于这个EXE里面是什么东西 聪明的你别问我是什么了)

开始我以为那病毒仅是一个“文件夹” 后来猜了可能是PE文件 用PEID查了一下壳 看到如下图4:

果然没有猜错 这个并不是文件夹 而是PE文件也就是文件 只不过是图标伪装成文件夹而已

这个病毒的作者脑子还真是好使,这样的传播病毒思路都想出来 小菜我佩服一下这位高手

不过作者还是挺“善良”的 只是隐藏你的文件夹而已 没有删除或破坏文件夹里面的内容

(作者别找我啊,病毒跑到我U盘里面,我也很无奈,小菜邪恶的走咯..)

病毒样本下载地址如下:

下载1:http://www.rayfile.com/files/113a5bcc-95b1-11dd-80fd-0014221b798a/

下载2:http://www.91files.com/?Q1HT1SA67EXW78QADUK3

附上autorun.ini里面的内容如下:

[AutoRun]
open=Notepad.exe
shell\1=打开(&O)
shell\1\Command=Notepad.exe
shell\2\=浏览(&B)
shell\2\Command=Notepad.exe
shellexecute=Notepad.exe


顺便说下这个病毒的工作原理:

和普通的autorun病毒一样 感染U盘的方式也是生成autorun.ini 所不同的是当你运行U盘的时候

会执行autorun.ini里面的内容 也就是执行了Notepad.exe 这个Notepad.exe的功能是当你打开U盘

任意一个文件夹后 它会把你那个文件夹给隐藏起来 同时在同目录下生成一个和隐藏文件夹同名的EXE文件

也就是病毒了 结构和Notepad.exe都是一样的


总结这个病毒的特征:

这也是一款U盘autorun病毒 只不过它原理已经不是原来的那样而已 算是一个变异的autorun病毒

伪装成文件夹的PE文件大小为:1.44 MB (1,514,606 字节)

伪装的PE文件加壳yoda's Protector v1.02(PEID查的壳 仅做参考)

运行这个病毒后会在进程里面多出一个612ECE.EXE的进程(可能是随机的)

这个文件所在位置C:\WINDOWS\system32\2F486D\(也可能是随机的)

这个生成的PE文件也和病毒的功能结构都是一样的 运行这个病毒后会执行同目录的autorun.inf


防范这个U盘病毒的基本方法:

1)计算机不要设置隐藏文件后缀;
2)计算机要设置显示隐藏文件;
3)打开U盘不要直接双击 应该右键打开(这是常识);