记录一个有趣的木马病毒

在实验教室做完实验之后插过那边电脑的U盘回来发现盘里的所有文件夹都变成了应用程序，像这样：

在不知情的情况下双击打开了某个应用程序，发现可以进入对应的目录，认为可能勒索软件只是把文件夹改名后缀加了.exe。仔细一看，发现电脑上的显示文件后缀名的设置被关掉了，心里咯噔一下，问题可能不是一点。果然修改文件名之后发现文件并没有变成目录。

打开Disk Genius发现了问题，这个应用程序真的是应用程序，文件夹依然存在，只是被隐藏了：

同时可以注意到所有的.exe大小都是$ 664.5kB $，我意识到所有的应用程序可能都是一样的，均为病毒本体。

首先我写了一个bat脚本：

for /f "delims=" %%i in ('dir /ah /s/b') do attrib "%%i" -s -h

把所有的隐藏文件夹回复出来，效果拔群。

但是当我将u盘弹出再插入时，天塌了，文件夹又被隐藏了，所有的.exe又出现了。这意味着病毒应该已经钻进我的电脑，我现在需要将病毒本体抓出来。首先我想到病毒想要实现自启动，一定会创建启动项，打开任务管理器的启动项配置，果然，找到了一个可疑的东西，它和那一群文件夹长得一模一样。

同时到进程中，果然找到了一模一样的东西

杀掉之后，重新插入U盘，很成功，盘里的文件夹没有再次被变成应用程序了。查看路径发现这家伙把自己存在office的目录下：

看文件大小也是664.5kB，这下破案了。病毒的原理就是假装自己是一个文件夹，然后欺骗用户运行，当用户双击运行时，它会贴心地将真正的目录打开，让用户毫无察觉，然后关闭用户的文件后缀显示，复制自己到用户电脑的office目录下，写注册表让自己可以自启动，然后便藏在用户电脑中苟且偷生，当有别人的u盘插入时，再将U盘中所有的文件夹都隐藏掉，然后复制文件夹同名的软件本体，继续感染别的电脑。

好了原理已经搞清楚了，现在去把注册表里启动项删掉就可以了

打开regedit

查看下面两个位置：

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

果然有它，它竟然还把自己的名字改成Microsoft Windows

现在知道了，安全无小事，实验需谨慎，陌生U盘插入电脑之前一定要把杀软打开——