马正军

摘要：近期，机房中出现了一些病毒，这些病毒被触发后可以隐藏掉用户的文件，而只显示一些指向病毒体的快捷方式，而且这些快捷方式伪装成用户的文件夹，因此误导用户点击从而触发病毒，或者使用户误拷贝了这些病毒产物，而失去了真正需要拷贝的软件或资料。

关键词：文件夹模仿者 脚本病毒 专杀

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2014）08-0192-01

1 病毒发现

有师生向我询问，为什么有用的资料老被杀毒软件误杀？我把他的U盘插到我电脑上后，我打开u盘，杀毒软件显示警报，我一看文件扩展名，是.INK，该快捷方式指向一个VBS脚本。同时，U盘里已经显示出了一堆具有隐藏属性的文件夹。于是，我对他说这个确实是病毒，你真正的文件在这里，被病毒隐藏了。但是，问题出现了，杀掉病毒容易，可以通过杀毒软件，但是想要恢复这些被隐藏的文件，却不简单，因为我们点击右键后，隐藏属性前面的复选框是灰色的，无法选择。凭经验，我知道这个是病毒给它添加了系统属性，因此不能直接通过右键去修改属性，只能通过命令行提示CMD.EXE的ATTRIB命令去修改属性，于是，我想到了用批处理程序写个专杀工具。

2 病毒分析

2.1 病毒的触发方式

病毒有两种触发方式、第一种触发方式，通过Autorun.Inf可以触发，windows xp老用户都知道，如果在磁盘根目录下放一个Autorun.Inf文件，通过在里面设置自动运行语句，即可在用户双击磁盘时运行我们指定的程序。这个病毒就是利用这个原理，在用户双击盘符时运行它。第二种触发方式是，病毒创建的指向病毒的快捷方式伪装成文件夹，并且名称和用户的文件夹名称相同，诱导用户双击打开，即可运行该病毒。

2.2 病毒的传播方式

病毒通过在U盘根目录下生成病毒本体和伪装成文件夹的指向病毒的快捷方式，以及生成指向病毒的Autorun.inf文件来触发病毒。

2.3 病毒的自启动

病毒通过注册表项使之能够自己随操作系统启动。该注册表项是“[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼ Windows＼CurrentVersion＼Run]”。

3 专杀程序的设计

专杀程序用批处理程序.bat来编写，这是因为批处理程序用记事本编辑，不用编译，可以直接调用常见程序的命令行格式，非常方便。

专杀程序从杀除病毒本体及其生成文件、恢复用户文件、删除病毒启动项三个方面彻底清除病毒及其残留，并且恢复用户文件。

3.1 杀除病毒及其创建的快捷方式，删除Autorun.inf

首先，要利用Attrib命令恢复文件的属性，去掉它的隐藏属性和系统属性，以便我们对它进行清理。这里我们要使用通配符“*”，它可以用来代替文件名中的任意个英文或数字字符。

利用del命令删除所有病毒脚本及其快捷方式，病毒脚本采用vbscript编写，因此，扩展名是.vbs，由于病毒名是随机的，不是固定的，所以我们用*.vbs来代替所有病毒文件名，这样的副作用是删除U盘里所有的VBS文件，包括用户自己编写的VBS文件。不过，我们学校没有开设vbscript课程，一般情况下也没有学生学习这个语言，所以这个副作用可以忽略不计。

快捷方式文件的扩展名看不到，但是实际上，它是有扩展名的，就是.INK，因此，可以用*.Ink来表示所有的快捷方式文件。

/Q表示是安静模式，删除不要求确认。

把本程序放到U盘里，然后双击执行，这样当前目录就是U盘所在盘符，因此我们不需要再加路径。

Attrib *.vbs –s –h

Attrib *.Ink –s –h

Attrib autorun.inf –s –h

Del autorun.inf /q

Del *.vbs /q

Del *.ink /q

3.2 恢复用户文件

由于用户文件被隐藏，因此我们要恢复出所有被病毒隐藏的文件和文件夹，即把这些文件或文件夹去掉隐藏和系统属性。这里同样是用ATTRIB命令，不同的是这里我们要处理文件夹，所以加上/S /D 参数，让它能够处理文件夹。

Attrib /D /S * -S –H

3.3 删除启动项

病毒或木马一般都会通过修改注册表等操作来实现开机自动启动，本文所分析的病毒就是通过注册表项“[HKEY_LOCAL _MACHINE＼SOFTWARE＼Microsoft＼Windows＼

CurrentVersion＼Run]”来启动。因此，我们要去掉该脚本病毒在注册表中的启动项。

Reg命令用来对注册表进行修改，reg delete子命令用来删除注册表中的项或值。/f用来强行删除不提示。HKLM表示”HKEY_LOCAL_MACHINE”根键。

Reg delete Hklm＼SOFTWARE＼Microsoft＼Windows＼ CurrentVersion＼Run＼qqpctray /va /F

4 实际效果测试

把这些代码在记事本上输入后，保存为“zhuansha.bat”，如果有人U盘中此病毒，把本程序放到中毒U盘中，运行它即可杀掉该脚本病毒并恢复被隐藏的文件和文件夹。经实际检验，它能够起到清除病毒并恢复文件的目的。endprint