今天到实验室回来发现U盘里面有几个怪怪的东东.. 如图1：

　　因为我电脑一直都是不隐藏文件后缀名的，看到文件夹竟然还带.EXE后缀，我就觉得奇怪了 我尝试去把文件夹后面的.EXE去掉 提示如下图2：

　　呵呵，这么样我就知道这么回事了，我电脑本身不显示隐藏文件和文件夹。我选择显示所有文件和文件夹，看到我原来的文件夹了。如下图3：

　　看到了这里我以为知道这个病毒的原理是什么样的,可惜猜错了!大家猜猜这个带.EXE后缀的所谓的“文件夹”运行后会出现什么吗？嘿嘿，可以正常看到你原文件夹内容。

　　在我还没有知道我的原本文件夹给隐藏之前，我还以为那带.EXE后缀“文件夹”把我原本内容都放在它里面。所以认为带.EXE后缀的文件夹可以正常运行，而是通过指向隐藏的原本的文件夹。并不是像我之前想的把文件都放到它里面去而已。在运行这个.EXE带后缀的“文件夹”的同时也运行了这个EXE文件的。(PS：至于这个EXE里面是什么东西 聪明的你别问我是什么了)

　　开始我以为那病毒仅是一个“文件夹” 后来猜了可能是PE文件，用PEID查了一下壳，看到如下图4：

　　果然没有猜错，这个并不是文件夹，而是PE文件也就是文件，只不过是图标伪装成文件夹而已。这个病毒的作者脑子还真是好使，这样的传播病毒思路都想出来，小菜我佩服一下这位高手。

　　不过作者还是挺“善良”的，只是隐藏你的文件夹而已，没有删除或破坏文件夹里面的内容。(作者别找我啊，病毒跑到我U盘里面，我也很无奈，小菜邪恶的走咯..)

　　病毒样本下载地址如下：

　　下载1：http://www.rayfile.com/files/113a5bcc-95b1-11dd-80fd-0014221b798a/

　　下载2：http://www.91files.com/?Q1HT1SA67EXW78QADUK3

　　附上autorun.ini里面的内容如下：

[AutoRun] open=Notepad.exe shell1=打开(&O) shell1Command=Notepad.exe shell2=浏览(&B) shell2Command=Notepad.exe shellexecute=Notepad.exe

　　顺便说下这个病毒的工作原理：和普通的autorun病毒一样 感染U盘的方式也是生成autorun.ini 所不同的是当你运行U盘的时候，会执行autorun.ini里面的内容，也就是执行了Notepad.exe 这个Notepad.exe的功能是当你打开U盘任意一个文件夹后，它会把你那个文件夹给隐藏起来 同时在同目录下生成一个和隐藏文件夹同名的EXE文件。也就是病毒了 结构和Notepad.exe都是一样的，总结这个病毒的特征：

　　这也是一款U盘autorun病毒，只不过它原理已经不是原来的那样而已，算是一个变异的autorun病毒，伪装成文件夹的PE文件大小为：1.44 MB (1,514,606 字节)。伪装的PE文件加壳yoda’s Protector v1.02(PEID查的壳 仅做参考)。运行这个病毒后会在进程里面多出一个612ECE.EXE的进程(可能是随机的)。这个文件所在位置C:WINDOWSsystem322F486D(也可能是随机的)。

　　这个生成的PE文件也和病毒的功能结构都是一样的，运行这个病毒后会执行同目录的autorun.inf。

　　防范这个U盘病毒的基本方法：

1. 计算机不要设置隐藏文件后缀；
2. 计算机要设置显示隐藏文件；
3. 打开U盘不要直接双击 应该右键打开(这是常识)；