近期校园网发现多个用户计算机系统感染“文件夹EXE蠕虫病毒”,该病毒主要感染Windows操作系统,通过生成与原文件夹同名的EXE文件并隐藏原文件夹进行传播。病毒进程名称为XP-****.exe或随机六位字符命名的执行文件(如D7F45.exe),同时创建autorun.inf文件实现自启动。其主体文件会被释放至系统目录(\WINDOWS\system32),并修改注册表(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)实现持久化运行,下载随机名称的病毒文件(如winvcreg.exe)。
病毒主要通过移动存储设备(如U盘)进行传播,当中毒计算机插入移动磁盘后,病毒会遍历移动磁盘根目录下的文件夹,衍生自身副本,并将其伪装成与原文件夹同名的EXE文件,同时将原文件夹属性修改为隐藏。
感染可能通过两种方式触发:一是依赖系统的自动播放功能(通过病毒创建的autorun.inf文件实现);二是用户误将伪装的EXE文件当作真实文件夹双击打开。
防范建议:
1、下载安装并更新校园正版授权杀毒软件,下载地址:https://kvirus.njau.edu.cn
2、空闲时间段全盘查杀在用的计算机设备,包括移动磁盘设备
3、禁用系统自动播放功能、设置显示所有文件扩展名
4、及时更新Windows操作系统补丁,校园网补丁更新服务参见https://winupdate.njau.edu.cn
