文件夹exe病毒专杀器

Moemu

发布于 2023-05-04 13:25:21

1.4K0

发布于 2023-05-04 13:25:21

文章被收录于专栏：Moemu's Notepad

仓库地址：WhitemuTeam/Folder-exe-virus-killer: 文件夹exe专杀器（针对某高中的拉跨系统制作） (github.com)

被学校的拉跨系统里的文件夹exe坑过后，就制作了本工具

前言

文件夹exe病毒是一种流传甚广的病毒，经常由于用户的安全性不高而导致感染

如果您观察到您的U盘/硬盘分区有下列情形的时候，那么您的U盘/硬盘分区就感染了文件夹exe病毒

你可以看到这张截图有“两个”同名的“文件夹”，但是下面的“文件夹”大小仅1,127KB，图标为WindowsXP文件夹的图标（上图截图环境为Windows7），类型为应用程序（文件夹不是应用程序，简单来说，文件夹没有后缀名）。由此我们得知，下面的“文件夹”（电影.exe）不是一个真正的文件夹。

打开假文件夹，它表面上看会打开真正的文件夹，但是实际上，它在后台偷偷下载了病毒文件并试图感染更多的文件夹，此病毒会隐藏真正的文件夹，创建一个虚拟的文件夹（传播途径，也就是假文件夹）

由于此病毒年代过于久远，看不到此病毒的源码，因此我们不知道它会不会在某一个时间点格式化您的硬盘或删除您宝贵的数据，因此，解决掉此病毒非常重要

关于这个病毒的更多信息：文件夹EXE病毒_百度百科 (baidu.com)

2021.10.23更新：据White_mu最新研究发现，目前学校电脑上的文件夹exe病毒为变种版本，因此百科上内容不适用，因此我们推荐查看病毒运行详细分析：微步在线云沙箱 (threatbook.cn)

事实上，这个病毒已经被各大杀毒软件列为危险项，杀毒软件会自动删除它，但是在没有安装杀毒软件的系统上，此类病毒非常广泛，因此，我们需要安装杀毒软件来消除此病毒

但有些时候，杀毒软件可能不会工作（比如学校电脑的冰点还原+落后的Windows Defender），让此类病毒拥有更广阔的传播空间，因此，WhitemuTeam在9个小时的努力后写出了一款程序，使其能够暂时在一定范围内撑过一段时间不被感染文件夹exe病毒

路径

我们发现此病毒的主程序路径为（Windows Media Player下一目录可能随机）：

C:\Program Files\Windows Media Player\e\b\0\3\3\9\1\4\a\b\e\3\0\2\4\2\1\1\e\5\a\d\5\9\9\3\6\9\b\6\2\b\autorun.inf\svchost.exe

因为某种原因，autorun.inf实际上是一个文件夹，但是被赋予了删除属性，直接打开会打开回收站，因此你需要通过以下代码查看autorun.inf中的文件（我现在把autorun.inf前的文件夹拷贝到我的U盘中了）

G:\c>cd autorun.inf
G:\c\autorun.inf>dir
 驱动器 G 中的卷是 White_mu
 卷的序列号是 0EAF-06B4
 G:\c\autorun.inf 的目录
2021/10/21  17:57    <DIR>          ..
2011/04/22  14:08         1,148,978 svchost.exe
               1 个文件      1,148,978 字节
               1 个目录 29,763,551,232 可用字节
G:\c\autorun.inf>copy svchost.exe ..
已复制         1 个文件。

你可以注意到此病毒主程序为svchost.exe，如果您运行文件夹exe病毒（任何文件夹.exe），此svchost.exe就会在后台运行，但是真正的svchost.exe是系统进程，我们需要辨别哪个svchost.exe是病毒主程序来终止它的进程，打开任务管理器

找到svchost.exe，看到后面用户名一栏是不是seewo(非System)，若是，终止它的进程，若不是，那就不是病毒主程序,不用终止，而且终止前要勾选一个选项后才能终止进程，然后蓝屏:(

病毒运行详细分析：微步在线云沙箱 (threatbook.cn)