新版资料夹病毒 行为分析与 预防方法
                                                                                                                                                        最近还挺流行这种资料夹病毒
话说这病毒是台湾制造的
它具有盗帐的功能
所以 应该算是个后门

现在就为大家说明 这病毒的行为吧...

病毒执行后
产生 MICRO.exe
并执行
产生 C:\WINDOWS\system32\microsoftshell.exe
执行后

下载
C:\Documents and Settings\"使用者名称"\Local Settings\Temp\F.exe
C:\Documents and Settings\"使用者名称"\Local Settings\Temp\FLS-1.exe
C:\Documents and Settings\"使用者名称"\Local Settings\Temp\FLS-2.exe
C:\Documents and Settings\"使用者名称"\Local Settings\Temp\FLS-3.exe
C:\Documents and Settings\"使用者名称"\Local Settings\Temp\FLS-4.exe
C:\Documents and Settings\"使用者名称"\Local Settings\Temp\FLS-5.exe


依序执行
F.exe 产生
C:\ProgramFiles\Common Files\Adobe\Updater5\Adobe_update.exe
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\Desktop.ini
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\flash8.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\k-lite.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\Media.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Desktop.ini
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Media.bat
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Media.vbs
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\mscon.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\services.exe
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\winlogon.exe
C:\WINDOWS\system32\dllcache\microsoftshell.exe
C:\WINDOWS\system32\MediaPlayer_update.exe
C:\WINDOWS\system32\wbem\AutoRecover\23BDE61F1F4FACE17E9B0C01F2A1FD9B.mof(可能是随机)
C:\WINDOWS\system32\wbem\AutoRecover\C8463ECBE33BC240263A0B094E46D510.mof(可能是随机)

建立程序
cmd.exe
microsoftshell.exe
Adobe_update.exe
GG.exe

执行 FLS-1.exe
产生档案
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\Desktop.ini
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\flash8.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\k-lite.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\Media.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Desktop.ini
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Media.bat
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Media.vbs
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\wmp.vbs
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\mscon.wav
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\services.exe
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\winlogon.exe
C:\WINDOWS\system32\MediaPlayer_update.exe

建立程序
GG.exe
MediaPlayer.exe

建立登陆档值
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
MediaPlayer = "C:\WINDOWS\system32\MediaPlayer_update.exe

执行 FLS-2.exe
产生档案
C:\program files\common files\microsoft shared\msinfo\(随机).avi
C:\program files\common files\microsoft shared\msinfo\QrGbCQq7NF.del
C:\program files\common files\microsoft shared\msinfo\QrGbCQq7NF.doc

(随机).avi 会 Hook 以下程序
explorer.exe
msmsgs.exe
dllhost.exe
sdnsmain.exe
svchost.exe

建立服务值
"Media_Service" "Running" "C:\WINDOWS\system32\svchost.exe -k netsvcs"

建立登陆档
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEDIA_SERVICE\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "Media_Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEDIA_SERVICE\0000]
Service = "Media_Service"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "Media_Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MEDIA_SERVICE]
NextInstance = 0x00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Media_Service\Enum]
0 = "Root\LEGACY_MEDIA_SERVICE\0000"
Count = 0x00000001
NextInstance = 0x00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Media_Service\Parameters]
ServiceDLL = [pathname with a string SHARE]\bvMApVbh.avi"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEDIA_SERVICE\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "Media_Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEDIA_SERVICE\0000]
Service = "Media_Service"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "Media_Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEDIA_SERVICE]
NextInstance = 0x00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Media_Service\Enum]
0 = "Root\LEGACY_MEDIA_SERVICE\0000"
Count = 0x00000001
NextInstance = 0x00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Media_Service\Parameters]
ServiceDLL = [pathname with a string SHARE]\bvMApVbh.avi"

执行 FLS-3.exe
产生档案
C:\ProgramFiles\Common Files\Adobe\Updater5\Adobe_Update.exe
C:\WINDOWS\system\Adobe.dll\data\Desktop.ini
C:\WINDOWS\system\Adobe.dll\data\dir.mp4
C:\WINDOWS\system\Adobe.dll\data\doc.mp4
C:\WINDOWS\system\Adobe.dll\data\pdf.mp4
C:\WINDOWS\system\Adobe.dll\data\ppt.mp4
C:\WINDOWS\system\Adobe.dll\data\rar.mp4
C:\WINDOWS\system\Adobe.dll\data\txt.mp4
C:\WINDOWS\system\Adobe.dll\data\xls.mp4
C:\WINDOWS\system\Adobe.dll\data\zip.mp4
C:\WINDOWS\system\Adobe.dll\Desktop.ini
C:\WINDOWS\system\Adobe.dll\OSPUM.exe\Adobe.bat
C:\WINDOWS\system\Adobe.dll\OSPUM.exe\Adobe.vbs
C:\WINDOWS\system\Adobe.dll\OSPUM.exe\Desktop.ini
C:\WINDOWS\system\Adobe.dll\svchost.exe

建立进程
svchost.exe

建立登陆档值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Adobe_update = "%ProgramFiles%\Common Files\Adobe\Updater5\Adobe_Update.exe"

修改登陆档
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
HKeyRoot = 0x80000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
HKeyRoot = 0x80000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
HKeyRoot = 0x80000002

执行 FLS-4.exe
建立进程
FLS-4.exe

执行 FLS-5.exe
C:\ProgramFiles\Common Files\Internet Explorer 8\IExplorer8.exe

建立登陆档值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Iexplorer8 = C:\ProgramFiles\Common Files\Internet Explorer 8\IExplorer8.exe
===============================================================================
行为整理:
执行后下载东西 复制完毕后
接下来会利用 C:\WINDOWS\system\Adobe.dll\svchost.exe(复制的 CMD.EXE)
开启
C:\WINDOWS\system\Adobe.dll\OSPUM.exe\Adobe.bat
寻找有"移除" 字样的磁碟
做隐藏随身碟里档案和资料夹
并复制C:\WINDOWS\system\Adobe.dll\data\
寻找附档名 为 txt rar zip pdf doc xls ppt 的档案下手
进行隐藏正常档案
复制 dir.mp4
doc.mp4 等等档案
取代正常档案
引诱别人点击

所以
并且每一个 .mp4 的档案
都是 某一附档名档案图示 的.EXE 执行档...

并且
用 loop 的方式
不断修改 登陆档
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = 2
HideFileExt = 1

实现 保持隐藏 及保持不显示附档名的状态...

C:\WINDOWS\system32\dllcache\MediaPlayer.dll\services.exe
负责键盘测录 程序监控等任务
并纪录于
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\Media\"电脑开启日期"\mid00.mid (键盘纪录资料)
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\Media\"电脑开启日期"\mid01.mid (程序纪录资料)
并且利用 C:\WINDOWS\system32\dllcache\MediaPlayer.dll\winlogon.exe (复制的 CMD.EXE)
呼叫
C:\WINDOWS\system32\dllcache\MediaPlayer.dll\MSCOB.exe\Media.bat
利用 FTP.EXE
从事上传 纪录档到 ftp://ftp.g...st/
用来盗帐...

并且随开机自动启动...
===============================================================================
那要如何预防呢

如果在正常情况下开启

别以为这是正常的喔
事实上 这个已经被取代了

有两种方法可以辨别
如果在别的电脑使用后

1.使用 WinRAR

这是就可以把 正常档案和病毒档案分辨出来了...

2.开启档案前 在每个档案或资料夹按右键 > 内容
看他的格式...
如果是 应用程式
如果是 那就 100 % 是毒了...

从这里看到 它不只取代资料夹唷
要注意喔

你可以把档案给删了
但是 之后你应该会说 那档案要怎么办了...
开启 Notepad 记事本
输入以下指令 存成 fix.bat复制内容到剪贴板代码:
@echo off
attrib -s -h -r "你要救的档案 or 资料夹 1"
attrib -s -h -r "你要救的档案 or 资料夹 2"
......以此类推
存好放到随身碟执行即可...

By K.Richard 香菇小精灵

请问一下我的电脑也中了此毒,照上面方式确时有90%的叙述符合
我也把他给删了或是登入档回复原来的设定
但是还是无法显示隐藏档和某些类别的副档名(很怪Office系列的副档名都无法显示还有txt)
请问还有啥解法呢?真的不想走上重灌一途
谢谢!