这两天朋友电脑出现了一奇怪了症状: C盘空间貌似在不断减少, 疑似U盘有毒, 于是拿来看了下.

然后就发现了这个猥琐的病毒, 它的工作原理貌似很简单: 把自身的图标设置成与文件夹图标一模一样, 所以如果你没注意你是看不出来它是程序还是一个文件夹的, 另外它把U盘根目录下所有的文件夹隐藏(设置系统+隐藏属性, 所以即使你打开显示隐藏的文件与目录也看不到这些被隐藏的文件夹), 同时它创建一个与该文件夹同名的.exe文件.  而当毫不知情的用户点击运行这个病毒的时候它会打开与之对应的文件夹, 同时创建一个名为update.exe进程. 然后便向用户主目录下appdata(Win7下)的某个目录里狂写东西. 至于其他的坏事暂时还没发现.

鉴于这个病毒相对简单, 所以自己写了一个批处理来干掉它, 方法也很简单就是枚举磁盘根目录下所有的文件夹, 看是不是有同名的.exe存在, 如果有则删除并去除此文件夹的系统和隐藏属性. (在Win7下试用通过)

  1. @echo off
  2. setlocal
  3.  
  4. :BEGIN
  5. set ROOT=
  6. set /P ROOT=输入要清除的盘符(输入0退出): %=%
  7. if %ROOT%==0 goto END
  8.  
  9. echo 正在清除驱动器 %ROOT%:
  10. rem kill the update.exe process
  11. taskkill /IM update.exe 2>NUL
  12. for /F "usebackq delims==" %%i in (`dir /AD /B %ROOT%:`) do if exist "%ROOT%:\%%i.exe" if not exist "%ROOT%:\%%i.exe\NUL" (
  13. echo 删除 %ROOT%:\%%i.exe 并去除目录%ROOT%:\%%i的系统与隐藏属性
  14. del "%ROOT%:\%%i.exe"
  15. attrib -H -S "%ROOT%:\%%i"
  16. )
  17.  
  18. goto BEGIN
  19.  
  20. :END