2023年12月24日发(作者:)

我在前一篇文章里专门谈到U盘文件夹被伪装的情形及其处理方法,该文所提及的病毒实际上指把文件夹变成EXE程序的病毒(我们且称之为“文件夹.EXE病毒”),由于经验不足,那篇文章有很多不到位的地方,再做此文加以补充。

文件夹.EXE病毒能够在很短的时间内把U盘上的部分文件夹隐藏起来,同时用被隐藏起来的文件夹的名称生成同名的EXE程序文件,此类程序文件拥有与文件夹常规图标一模一样的ICON图标,用以欺骗用户,令用户误以为那个程序就是自己的文件夹,从而在使用U盘的时候会毫不犹豫去打开它。一旦用户双击或右击-打开了任意一个伪装成文件夹的程序,主机立即感染文件夹.EXE病毒,从此以后,凡与该主机连接的U盘,都会感染上该病毒。文件夹.EXE病毒主要以U盘为传输媒介,在U盘的活动范围内不断来回感染。

文件夹.EXE病毒以伪装自己和隐藏真实文件夹的方式来操纵文件夹并达成扩散自己的目的,它可能还有其他用意,比如,它可能会收集用户相关的数据并在有条件的环境下将数据发送到指定地点。

很多杀毒和安全软件对文件夹.EXE病毒并不敏感,为此,不是因为安装了360安全卫士和ESET之类的安全和杀毒软件就可以掉以轻心。我曾做如下实验:

在 360安全卫士+ESET Smart Security 环境下插入已经感染了文件夹.EXE病毒的U盘,双击里面伪装成文件夹的EXE程序,360能弹出一个警告窗口,提示用户“一个未知的系统启动项正在被装入”,ESET则未有任何响应。360虽然有了警告,用户也选择了阻止,文件夹.EXE病毒一样已经进驻了机器,360的唯一功劳是在自启动项目中注释掉(rem)一个.lnk项目,而病毒已经在进程中,从此以后,再插入任何一块U盘,该U盘的文件夹至少有五个被伪装,如果该U盘没有文件夹,文件夹.EXE病毒也会在其上生成一个隐藏的程序,也是一个文件夹图标(recycle是回收站的英文名称)。一些朋友描述有一些杀毒软件能防范和查杀文件夹.EXE病毒,我没有测试过。实际上,网上也有文件夹.EXE病毒专杀工具,它们按理应该是很专业的。

即使手头的工具不能对付文件夹.EXE病毒,我们也可以手工彻底清除它——针对U盘:不要急于去打开U盘上的文件夹,先查看它是不是伪装的程序。打开“我的电脑”,右击U盘-打开,单击菜单“工具-文件夹选项”,单击弹出窗口的“查看”选项卡,在“高级设置”项目列表中取消“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前的“√”,点选“显示所有文件和文件夹”,确定后,我们将能清楚地查看U盘所有的一切,若有.EXE

为后缀的“文件夹”,它就是文件夹.EXE病毒程序,把这些“文件夹”通通删除,再删除U盘根目录下可疑的文件,U盘的病毒基本彻底清除了。

但若主机也感染了文件夹.EXE病毒,U盘还会再度感染,为此,针对主机:先用360检查,使用其“系统全面诊断”的“常用”查杀方式即可,诊断完后勾选左下角的“隐藏安全项”,在列表中仔细检查打上问号的项目,若机器感染了文件夹.EXE病毒,会有类似于“D5E68C”字样的项目,通常会有同名的两到三个,可能是单独的“D5E68C”,也可能是有“.EXE”和“.lnk”后缀的,若真的有,单击它,在右边窗格可以看到详细情况,记下它的路径(备用),然后一一勾选同名项目,再单击“修复选中项”按钮。接下来,运行regedit启动注册表编辑程序,以“D5E68C”为关键词(这个病毒的名称变化,不同的机器名称不一样)查找,一般至少有一项,找到的全部删除。重启机器,进入Windowssystem32目录,从前面记下的路径中找到病毒所在的文件夹,删除它(文件夹可能是隐藏的)。至此,主机上的文件夹.EXE病毒已经清除干净。

U盘和主机都极易再度感染文件夹.EXE病毒,除了安装强劲的安全软件和杀毒软件,我们还应当时刻警惕。以下建议是减少感染文件夹.EXE病毒的有效方法:

其一,先确保主机未感染文件夹.EXE病毒,方法很简单,用如上已述的方式,借助360安全卫士的系统全面诊断功能进行检查;

其二,打开U盘一定使用右击U盘-打开的方式,同时,双击U盘上的文件夹前,先右击该文件夹,在弹出的菜单中单击“属性”,查看它的类型是文件夹还是程序文件,是文件夹可以打开它,是程序文件则千万不能打开(双击打开和右击打开效果都是一样的),应立即删。