Trojan.Win32.Hider.i 病毒（U盘“文件夹”花了）简单分析及其清理方法（附样本）

dikex

前言：

最近看到有人求助说U盘的文件夹在平铺的查看方式下花了，我想：靠，viking等能导致exe文件图标花了，现在怎么有病毒把文件夹的图标也弄花了呢？也是找了个样本，粗略的分析了一下，发现原来那是病毒的小把戏……


文件生成：

C:\WINDOWS\system32\isass.exe，不断地生成并立刻删除C:\WINDOWS\system32\exe**.tmp


注册表：

将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt下面的UncheckedValue的值设1，HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下面的HideFileExt由的值设1，实现了即使在文件夹选项里设置后也能隐藏后缀；
将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden下面的UncheckedValue的值设为0，HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下面的ShowSuperHidden的值设为0，实现了不显示隐藏文件；
将HKCR\exefile的默认值设为File Folder（原为 应用程序），使得exe文件在windows里面的信息显示为文件夹（可见这个东西是国外写的，不然应该改为 文件夹）
之后创建服务：CSNetManagerXp
HKLM\SYSTEM\ControlSet001\Services\CSNetManagerXp 及其子项和子键值；
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CSNETMANAGERXP 及其子项和子键值；


最后还在做一些很无耻的事情：

首先将所有的文件夹都设为隐藏属性，然后建立一个和文件夹名字一样的exe文件（和C:\WINDOWS\system32\isass.exe一样的），与刚才注册表的动作配合起来，你就很容易以为那些exe文件就是你的文件夹而双击进入了，双击它后它还真的会帮你进入相应的文件夹以增前隐蔽性，但可能是作者的失误吧，在平铺的查看方式下，那些所谓的“文件夹”的图标会花了，看图；



清除方法：

这东西清除比较简单，一个工具即可（不嫌麻烦的话可以只用系统工具），工具准备：icesword 1.20，下载地址：http://www.ttian.net/website/2005/0829/391.html

打开icesword，在进程那里找到isass.exe，右键——结束进程；
转到icesword里面的注册表，找到HKLM\SYSTEM\ControlSet001\Services\CSNetManagerXp，在CSNetManagerXp上面右键——删除，找到HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CSNETMANAGERXP，在LEGACY_CSNETMANAGERXP上面右键——删除；
然后将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt下面的UncheckedValue的值设0，HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden下面的UncheckedValue的值设为1，HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced下面的ShowSuperHidden的值设为1；

最后打开U盘，在文件夹选项——查看——去掉“隐藏已知扩展名”，之后把C:\WINDOWS\system32\isass.exe和U盘里面那些冒充的所谓“文件夹”的exe文件全部删除；
OK，大功告成！


样本密码：virus

jlennon

刺猬真是热心，赞一个

jlennon

mofunzone

AntiVir         Found nothing
ArcaVir         Found nothing
Avast         Found Win32:Trojan-gen. {Other}
AVG Antivirus         Found Generic3.ATV
BitDefender         Found Trojan.Hider.I
ClamAV         Found nothing
Dr.Web         Found Trojan.Hidn
F-Prot Antivirus         Found nothing
F-Secure Anti-Virus         Found Trojan.Win32.Hider.i
Fortinet         Found nothing
Kaspersky Anti-Virus         Found Trojan.Win32.Hider.i
NOD32         Found Win32/Hider.I
Norman Virus Control         Found nothing
Panda Antivirus         Found Trj/Agent.ECB
Rising Antivirus         Found nothing
VirusBuster         Found nothing
VBA32         Found Trojan.Win32.Hider.i

dikex

原帖由 jlennon 于 2007-4-19 03:02 发表
刺猬真是热心，赞一个

骗贴还是热心一点好


这个类型的病毒貌似以前见过，不过那个不只是在U盘里面搞破坏

solcroft

有趣，支持~
过了红伞的毒，更加要顶一下
SSM弹出了两个提示，都允许后连还用着3月病毒库的卡巴也看不过眼了，封杀+回滚

jlennon

最新的7.0你用了没？

solcroft

原帖由 jlennon 于 2007-4-19 05:34 发表
最新的7.0你用了没？

用了两小时，不是蓝屏就是死机，卸了

jlennon

faint，你RP不好

bridgewr

微点已知鸟