exe文件病毒，且原有的文件夹被隐藏

exe文件，且原有的文件夹被隐藏，今天抓到了样本，分析如下：

File: EXPL0RER.EXE
Size: 21504 bytes
File Version: 1.00.2900
Modified: 2008年1月12日, 22:03:26
MD5: 8705EC3E51AF609AD73EB8B803FEA796
SHA1: 01015B9F9231018A58A3CA1B5B6A27C269F807E6
CRC32: 21A3FAE7

1.病毒运行后，衍生如下副本：
%systemroot%EXPL0RER.EXE（注意中间是数字0）
遍历所有分区，把所有属性为非隐藏的文件夹隐藏，并生成一个与该文件夹名称相同的病毒文件，诱惑用户点击
在可移动存储中写入autorun.inf和EXPL0RER.EXE

2.修改很多系统关联项目，其中包括
HKLMSOFTWAREClassesDirectoryshellexplorecommand: "C:WINDOWSEXPL0RER.EXE %1"
HKLMSOFTWAREClassesDirectoryshellopencommand: "C:WINDOWSEXPL0RER.EXE %1"（修改文件夹打开关联，也就是说即便你打开的是正常的文件夹，那么也会运行病毒文件！！很好很强大！！也很流氓！！）
HKLMSOFTWAREClassesDriveshellexplorecommand: "C:WINDOWSEXPL0RER.EXE %1"
HKLMSOFTWAREClassesDriveshellopencommand: "C:WINDOWSEXPL0RER.EXE %1"（同样修改磁盘打开关联，病毒没有通过传统的auto方式启动，而是通过这种流氓方式，也就是说你每打开一次某个分区，便运行一次病毒！！！）

创建HKLMSOFTWAREClassesexefileNeverShowExt: ""（永久性隐藏exe文件的扩展名）
修改inf，ini，txt，vbs，chm，reg文件的文件关联
HKLMSOFTWAREClassesinffileshellopencommand: "C:WINDOWSEXPL0RER.EXE %1"
HKLMSOFTWAREClassesinifileshellopencommand: "C:WINDOWSEXPL0RER.EXE %1"
HKLMSOFTWAREClassestxtfileshellopencommand: "C:WINDOWSEXPL0RER.EXE %1"
HKLMSOFTWAREClassesVBSFileShellOpenCommand: "C:WINDOWSEXPL0RER.EXE %1"
HKLMSOFTWAREClasseschm.fileshellopencommand: "C:WINDOWSEXPL0RER.EXE %1"
HKLMSOFTWAREClassesregfileshellopencommand: "C:WINDOWSEXPL0RER.EXE %1"

3.破坏显示隐藏文件
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue: 0x00000002
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue: 0x00000003

4.破坏安全模式
删除SYSTEMCurrentControlSetControlSafeBootMinimal
SYSTEMCurrentControlSetControlSafeBootNetwork键

5.利用GetForegroundWindow，GetWindowTextA等函数获得窗口的标题并利用PostMessageA函数关闭带有某些指定字符的窗口，诸如
twomcc
wopt
360
...
并可关闭注册表编辑器和任务管理器...

6.修改系统日期为1988.11.30

7.连接网络利用InternetReadFile函数读取http://www.lice.eb.cn/update.txt
但该链接已失效 猜想是为了更新病毒所用

8.利用GetComputerNameA获得机器名称，并利用http://www.lice.eb.cn/qq.asp?ip=机器名称 提交

清除办法：（一定要严格按照顺序操作不得跳步）
下载Icesword：http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng：http://download.kztechs.com/files/sreng2.zip

操作注意事项:操作中不要打开任何文件夹，因为所有“文件夹”全已经是伪装的病毒了，也不要打开任何磁盘分区！
下载来的Icesword和sreng直接解压到桌面上 也不要解压到一个文件夹中

1.运行 Icesword.exe 进程 结束%systemroot%EXPL0RER.EXE进程 （注意中间是数字0，而且图标为文件夹图标）

点击左下角文件按钮
进入Icesword的文件管理器
删除%systemroot%EXPL0RER.EXE
还是注意 不要删错 该文件大小为21504字节


2.打开sreng
系统修复- 文件关联 点击修复

Windows Shell/IE 全选 点击修复

高级修复 修复安全模式

3.把下列文字复制到记事本中 并改名为1.bat 运行

reg delete "HKLMSOFTWAREClassesDriveshellexplore" /f
reg delete "HKLMSOFTWAREClassesDriveshellopen" /f
reg delete "HKLMSOFTWAREClassesDirectoryshellexplore" /f
reg delete "HKLMSOFTWAREClassesDirectoryshellopen" /f

一段类似dos的屏幕滚动过后就可以了

4.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

点击菜单栏下方的搜索按钮

查找所有文件和文件夹
全部或部分文件名 *.exe
在这里查找：我的电脑
指定大小 至多为22K
并勾选搜索隐藏的文件和文件夹选项

搜索完毕后，会发现搜索到很多文件夹图标的exe文件 大小均为21k左右全部删除之！！


5.恢复文件夹属性
可以用attrib －s -h /s /d 对应文件夹路径 这样的命令恢复，工程有点浩大...

[本帖最后由 清新阳光 于 2008-1-13 00:11 编辑]