hongker

最近北京江民科技反病毒研究中心发现了一种采用RootKit 技术隐藏自身进程的木马Trojan/Delf.cm，中文名称：文件夹隐藏者木马。该木马能隐藏驱动器里的目录，具有较强的隐蔽性。
该木马采用 Delphi 工具编写，病毒运行后，将创建下列文件：
%SystemDir%\sys.exe , 36864字节
在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = explorer.exe sys.exe
这样，在Windows启动时，病毒就可以自动执行。
感染的平台为Win NT/2000/XP。

有趣的是，该木马发作的时候，会在用户的电脑中弹出以下消息：
Satan's Day!!! More curse More death!!!
Satan's Dinner!!! More blood More flesh!!!

 

当病毒发作后，会隐藏自身进程，用江民未知病毒检测程序会扫描出其可疑概率高达97 ％ ！

如下图：

木马通过修改注册表实现开机自启动，如图：

 

这个木马文件最大的隐蔽之处就是会遍历硬盘里面的文件夹，并且将原来的文件夹隐藏起来，自身生成一个和原文件夹同名的 .EXE文件，引诱用户点击，如图：

 

清除方法：

方法 1.  升级KV 2006  杀毒软件到最新的病毒库，全盘杀毒即可。

方法 2. 在由于没有互联网连接的电脑导致不能升级的情况下，可以把C:\Windows\system32\sys.exe 文件添加到自定义样本库中，然后扫描样本库即可。操作如图：

 

 

好了，对于被病毒隐藏起来的文件夹，把它的文件夹隐藏属性恢复一下就可以了。操作如图：

这样，这个狡猾的木马就彻底清除了！

admin

我靠。好东西，顶！

岁月恋战

是的，好东西，顶

飘忽的幽灵

谢过谢过.喔弥陀佛.

深爱金莲

倒的

还有这样的木马

麦迪代言人

支持了 好东东```

djcool

好好