FakeFolder病毒——文件夹变成可疑exe文件
背景
内网遭遇了名为FakeFolder的蠕虫病毒攻击,该病毒通过U盘和共享文件夹传播。它会隐藏真实文件夹,用伪装的.exe文件替代,欺骗用户运行,进而感染系统。病毒具有自我复制能力,即便删除,只要网络中存在一个病毒副本,就能再次感染全网。应对策略包括加强网络安全措施,更新防病毒软件,隔离受感染机器,并提升员工安全意识。彻底清除需全面扫描和深度清理系统。
病毒分析
原理
1、隐蔽启动:病毒启动后,巧妙地创建子进程并注入恶意代码,以规避防病毒软件的检测,确保核心功能的运行。
2、信息搜集:接着,它释放一个批处理脚本(ghi.bat),用于收集受感染主机的详细信息和网络配置。
3、文件夹感染:完成信息搜集后,病毒开始感染系统中的文件夹,通过修改或添加autorun.inf文件,确保即使在清除后也能重新感染,实现持久存在。
4、持久化与伪装:最后,病毒设置两个定时任务,一个用于持续监控系统注册表,维持其持久性;另一个则定期访问Windows更新服务器,模拟正常行为以逃避怀疑。
感染现象
被感染主机,系统中的文件夹全部变成了 “.exe” 格式的可执行文件:
解决方案
可下载深信服公司提供的免费提供查杀工具,进行检测查杀。
本文转载自: https://blog.csdn.net/weixin_41178055/article/details/140387176
版权归原作者 MOW158 所有, 如有侵权,请联系我们删除。
版权归原作者 MOW158 所有, 如有侵权,请联系我们删除。