又一个隐藏文件的病毒！

Hacker29cn

此贼甚是彪悍，竟敢如此大逆不道！



之所以通过系统的控制面板修改，那是因为其装入驱动，守护进程，同时修改系统关于隐藏文件夹的关键键值

CU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden	REG_DWORD/REG_DWORD	4/4	0x1/0x2
CU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt	REG_DWORD/REG_DWORD	4/4	0x0/0x1
LM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue	REG_DWORD/REG_DWORD	4/4	0x1/0x0

• Values Deleted

Name	Type	Size	Value
LM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\CheckedValue	REG_DWORD	4	0x1

删除了HideFileExt\CheckedValue键值，这就是为什么无法通过控制面板，文件夹选项修改的原因

同时注入系统
C:\WINDOWS\system32\javasc.exe。又作为服务开启，起到守护病毒本身的作用
实在可恶！

Hacker29cn

此贼详细分析报告
http://camas.comodo.com/cgi-bin/ ... 351a2a8efa53ac6f6a4

liulangzhecgr

回复 32楼 Hacker29cn 的帖子

• Values DeletedName Type Size Value
LM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\CheckedValue REG_DWORD 4 0x1

删除了HideFileExt\CheckedValue键值，这就是为什么无法通过控制面板，文件夹选项修改的原因

-------------------------
谢谢!
请问:删除病毒文件后，创建CheckedValue键值 ...不知结果会是什么样?!

Hacker29cn

回复 33楼 liulangzhecgr 的帖子

应该就会恢复了，可以在文件夹选项设置了，注意，除了创建这个值以外，还要把原来系统默认的键值恢复：
CU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden REG_DWORD/REG_DWORD 本来的值为1 CU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt REG_DWORD/REG_DWORD 本来的值为0
删除病毒建立的项
LM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

其中CU代表HKEY_CURRENT_USER，LM代表HKEY_LOCAL_MACHINE

liulangzhecgr

Hacker29cn 发表于 2011-4-15 12:10
回复 33楼 liulangzhecgr 的帖子

应该就会恢复了，可以在文件夹选项设置了，注意，除了创建这个值以外， ...

谢谢!

头一次是借xt的力量把jupiter拷贝到根目录下后修复注册表!
这一次是借用windows清理助手来修复!




工具都显示就不怕...!

谢谢!那篇文章...有胆再试!

Hacker29cn

回复 35楼 liulangzhecgr 的帖子

那篇文章无害，乃可以放心试，哈哈

qqq123123

回复 1楼 左手 的帖子

有时候真为这类病毒悲哀···MD日志如下（所有日志）：

2011-4-15 13:23:17    读文件夹    阻止并结束进程
进程: d:\我的文档\desktop\hide\hide.exe
目标: D:\1
规则: [应用程序组]↑[6]<软件>样本测试 -> [文件组]↑[5]<秒杀>行为分析

shixh3929

还是小心点，在虚拟机中运行吧

西风萧雨

sanhu35

此毒不错