内容发布更新时间 : 2024/5/2 10:49:53星期一 下面是文章的全部内容请认真阅读。

『“文件夹.EXE”』

病毒名称：“文件夹.EXE”病毒； 病毒别称：； 病毒类型：蠕虫；

病毒长度：1,415,094 字节；

病毒 MD5：afb08df3fef57788d839bc02f14b2159 危害等级：★★★

感染系统：Windows 系统。 开发工具：《E语言》

“文件夹.EXE”病毒行为分析：

“文件夹.EXE”病毒主要通过可移动磁盘传播。就拿U盘为例，一个干净的U盘或者未感染的U盘插入已被“文件夹.EXE”病毒感染的计算机主机USB接口上以后，病毒会在U盘根目录下生成病毒脚本安装文件“”和伪装文件夹的病毒程序“”、“ .exe”、“ .exe”、“ .exe”。

很显然，“文件夹.EXE”的传播程序“”的文件名称是在模仿回收站的文件夹“Recycler”，两者名称上就相差一个字母“r”。回收站的文件夹“RECYCLER”只有在NTFS格式文件系统的磁盘分区根目录下才会出现，该文件夹内存储着各个用户的回收站。

如图，这是打开“文件夹.EXE”的配置文件“”显示的文件命令，意思是访问该驱动器磁盘分区后自动执行病毒程序“”，也就是说“”是“文件夹.EXE”的病毒样本。

被“文件夹.EXE”病毒感染的U盘再插入到正常的计算机主机USB接口上以后，只要受害者一打开访问U盘，便会感染到计算机上。由于该病毒变种较多，所以绕过了许多杀毒软件的眼睛。

首先会获取要感染计算机的用户临时文件目录，获取后会在这个用户的临时文件夹“C:\\Documents and Settings\\Administrator（受害者的用户名）\\Local Settings\\Temp”目录下创建一个名称为“E_N4”的文件夹，并在其目录下释放

9个病毒组件，分别是“”、“”、“”、“”、“”、“”、“”、“”，这些扩展名为“.fne”文件均为“只读”、“系统”和“隐藏”的文件属性。

文件夹“E_N4”是“E语言（即“易语言”）”程序运行时才会产生的临时文件夹，而后缀名为“.fne”的程序是“E语言”的支持库文件，不过是已经编译好的，也就是改了扩展名以后的动态链接库文件“.dll”，由此可以证明“文件夹.EXE”病毒是使用《易语言》编写的。

然后会获取要感染计算机的系统目录，获取后会在“C:\\WINDOWS\\system32”系统目录下创建一个6位随机数字、字母组成的文件夹，文件夹的属性是“只读”、“系统”和“隐藏”的文件属性，本次测试病毒创建的文件夹名称是“5A8DCC”。病毒成功创建文件夹“5A8DCC”之后，将释放在“C:\\Documents and Settings\\Administrator（受害者的用户名）\\Local Settings\\Temp\\E_N4”临时文件夹目录下的9个病毒组件复制到“C:\\WINDOWS\\system32\\5A8DCC”目录下。

随后还会在“C:\\WINDOWS\\system32”系统目录下创建一个6位随机数字、字母组成的文件夹，文件夹的属性是“只读”、“系统”和“隐藏”的文件属性，本次测试病毒创建的文件夹名称是“ACF7EF”。再在该文件夹下面创建一个6位随机数字、字母组成的病毒主体程序，本次测试病毒创建的病毒主体程序名称是“”，文件属性是“只读”、“系统”和“隐藏”的文件属性。如图，病毒路径：“C:\\WINDOWS\\system32\\ACF7EF\\”。

之后给病毒主体程序“”创建一个随机启动项，在注册表“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”分支下创建一个与病毒主体程序“”名称相同的字符串值“74BE16”，数值数据指向病毒主体程序的路径位置“C:\\WINDOWS\\system32\\ACF7EF\\”。

再在“C:\\Documents and Settings\\Administrator（受害者的用户名）\\「开始」菜单\\程序\\启动”目录下创建一个指向病毒主体程序“”的快捷方式“”。 这是“文件夹.EXE”病毒的另外一个启动项，也就是自启动项“开始菜单”-----

“所有程序(P)”-----“启动”目录下随计算机启动被执行的。

最后，病毒程序“”被执行到系统中去运行，例如通过DOS命令查看“”是否被插入到进程被运行，在“命令提示符”的黑色窗口里面输入“TASKLIST /M ”可以查看到病毒模块“”已被病毒调入到病毒进程“”中去运行了。

“文件夹.EXE”病毒运行后，会检测是否存在可移动磁盘，如插有可移动磁盘并对其感染。另外还检查可移动磁盘分区根目录下的文件夹，然后复制这些文件夹的名称伪装创建一个与其同名的病毒程序，就连程序图标也是模仿文件夹的图标，然后将被模仿的那个文件夹属性设为“隐藏”。伪造文件夹的病毒程序大小与“文件夹.EXE”病毒样本的大小相同都是“ MB”，而且文件属性均被病毒设置为“只读”和“系统”的文件属性。如果运行这些伪造文件夹的病毒程序就会重新释放病毒，同时也会打开被隐藏的真实原有文件夹，一般用户根本查觉不到病毒活动。如图，这是“文件夹.EXE”病毒感染了我的手机内存卡。

尤其是新安装的操作系统（这里指未修改过的盗版系统），“系统”和“隐藏”属性的文件和文件夹是不被显示的，而且已知文件类型的扩展名也是被隐藏的。这样，“文件夹.EXE”病毒伪装文件夹的病毒程序根本和文件夹无任何区别，再加上无意中打开这些“文件夹.EXE”病毒程序还会打开被隐藏的真实原有文件夹，所以电脑新手很容易被迷惑。

病毒进程“”还会连接黑客服务器下载病毒相关程序，下载下来后运行它们。例如下载两个病毒程序到病毒文件夹“5A8DCC”的目录下，本次测试病毒下载的病毒程序名称分别是“”和“”，文件属性是“只读”、“系统”和“隐藏”的文件属性。

“文件夹.EXE”病毒还会每隔一段时间打开浏览器来访问某家网站做广告宣传，类似于“广告木马”。例如我在编写原创帖“【原创】“文件夹.EXE”病毒是如何将文件夹变成可执行程序的！”的时候就弹出了一个“钓鱼网站”：

且每隔一段时间收集一次受害者的隐私信息，就是受害者使用计算机的一切活动，类似于“间谍”程序。

“文件夹.EXE”病毒在“C:\\WINDOWS\\system32”系统目录下创建多个这样6