关于Worm.Win32.Agent.wz病毒的一些个人见解
大家看下图片,这个病毒很大个,居然有1.4M大小(今天在同事那台电脑里面使用自己的移动盘染上的病毒)。
这个病毒会随机生成一个名字,大家看到我的移动盘目录下的那几个文件夹了吧,记得以前有很多移动盘病毒出现过,所以我在自己的移动盘根目录下创建了四个同名的免疫文件夹,我分别在这四个免疫文件里面创建了 X. 文件夹(普通情况下是无法删除的),病毒有没有试图删除那四个文件夹,我没测试,估计不会。
分析:大家可以看到,那六个病毒文件都是同一个病毒,而且文件字节大小都一样,但是为什么还会多出一个后缀 .exe呢?原因很简单,这种病毒是根据移动盘根目录的隐藏文件夹的名字加个 .exe来命名的,可是呢,我的移动盘目录下还有很多个文件夹,除了那四个免疫文件夹和那两个 Others,Virus文件夹是高级隐藏文件夹,其他文件夹属性全部是可见的,Virus文件夹是我用来存放病毒,测试用的,Others是一般的文件夹,但是病毒照样生成 Virus.exe Others.exe 文件,所以说,病毒不会试图删除任何文件夹,也不存在删除免疫文件夹的可能。
说来也奇怪,这种病毒只跟随隐藏文件夹名字命名,却不跟随可见文件夹名字命名,而且,文件夹后缀带个.pif的也不跟随改名,如果是文件的话,pif格式文件属性为:指向 MS-DOS 程序的快捷方式。跟lnk文件类似,也是一种快捷方式。好了,先分析到这里。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; TencentTraveler 4.0)
