狸貓換太子“文件夾隱藏者”病毒肆虐

近日，自學教程，江民反病毒研究中心接到多家企業用戶求助，稱他們的電腦在殺毒後，一些重要的文件夾莫名失蹤，而奇怪的是，通過病毒隔離區恢復被清除的病毒文件後，丟失的文件夾又回來了，用戶對此非常疑惑不解。

江民反病毒專家檢測後發現，用戶感染了“文件夾隱藏者”（Trojan/Delf.cm）病毒，病毒發作後，能隱藏驅動器裡的文件夾目錄，然後把自身復制成同名的 .EXE文件夾，以此引誘用戶點擊。而江民殺毒軟件能夠准確識別病毒偽裝的文件夾，並直接將其清除，因此造成殺毒軟件誤殺“文件夾”的假象。事實上真正的文件夾並沒有丟失，不過被病毒隱藏起來而已。

江民反病毒專家介紹，“文件夾隱藏者”（Trojan/Delf.cm）病毒系采用RootKit 技術隱藏自身進程的木馬。該木馬采用 Delphi 工具編寫，病毒運行後，將在系統目錄下創建大小為36864字節文件sys.exe ，同時在注冊表中添加啟動項，以使自己可以與系統一起運行，病毒主要感染Win NT以上的WINDOWS操作系統。

該木馬發作的時候，會在用戶的電腦中彈出以下消息：

Satan's Day!!! More curse More death!!!

Satan's Dinner!!! More blood More flesh!!!

當病毒發作後，會隱藏自身進程，5自學網，用江民未知病毒檢測程序會掃描出其可疑概率高達97 ％ ！

該木馬文件最大的隱蔽之處就是會遍歷硬盤裡面的文件夾，並且將原來的文件夾隱藏起來，自身生成一個和原文件夾同名的 .EXE文件，引誘用戶點擊。該病毒險惡用戶在於，如果殺毒軟件將這些偽裝巧妙的病毒文件刪除，就會使不明真象的用戶誤認為是殺毒軟件誤殺，從而嫁禍殺毒廠商。

針對該病毒，江民殺毒軟件KV2006已及時升級，用戶只需升級KV產品至最新病毒庫，開啟病毒實時監控系統，即可防御該病毒於系統之外，未升級病毒庫的用戶，也可使用江民未知病毒檢測相應功能對病毒文件進行全面清除。對於被病毒隱藏的文件夾，用戶可以打開資源管理器，通過“查看”功能，選擇“顯示所有隱藏文件”菜單，而後去掉文件夾的隱藏屬性即可完全恢復。