磁碟机最新变种样本

看到不少坛友中了磁碟机病毒，觉得应该为坛子里的坛友做点贡献，奋战了两天，期间下载病毒共七次，重新恢复快照六次，终于把怎么制服磁碟机病毒的方法研究出来了，和坛子里的坛友共享一下我的成果，希望能帮到大家，都远离这个所谓变态的“毒王之王”方法很简单，就是利用了NTFS的权限，以达到控制磁碟机运行的目的，没有什么技术含量，希望高手不要见笑！！

根据这两天运行病毒，发现有几个共同点，就是一定要在系统盘的根目录、COM文件夹建立病毒文件，利用CMD还有CACLS这两个可执行文件，而这两个可执行文件，普通用户根本就用不到，可以完全利用NTFS的权限，拒绝运行！还有就是C盘的根目录和COM文件夹一般用户也不会在这两个地方建立文件的，这就给了我们思路，用NTFS的权限，不用注册表防护、不用策略和任何杀软（绝对适合菜鸟），也一样能让磁碟机运行不了！（更不要说不少的杀软在磁碟机的面前，已经很无奈了，而且号称自我保护很强的卡巴，一旦让磁碟机运行起来，也变得很苍白！）

详细设置见图：
先设置C盘的根目录的权限，如果其他的盘的根目录权限也像C盘这样设置，还可以有效的防止U盘病毒，看来windows的NTFS的权限给了我们无数diy的空间（前提是你的分区一定要是NTFS格式的）



默认的权限这里和我的是不一样的，无论你是什么样的，点高级，然后就会弹出下图，请接着看图：



按图上说明，先把下面的红框里的勾去掉，就会弹出个对话框，你点删除，然后上面的大红框里就是空的了，（修正一个错误，就是在分区的根目录那个小框里是没有勾的，就直接把大框里的删除，重新分配权限就可以了）然后点添加，就会出现下图，接着看图：



点击添加后就出现这个图，然后点高级，就会出现下图，请看图：



根据图片里的说明，选好用户组后，点击确定就出现下图：



直接点确定，就看到了下图里面的那个“权限项目”的图片，然后就按照那里的图示说明设置，以后都是这个步骤（但要看清图示，有的权限设置是不一样的！！），依次添加，看图：



先添加上面红框里的那两个组，一定要在“应用到”那里选“只有文件夹及文件”在“允许”里全部选上，一定要选组！切记！接着看图：



这里的三项的权限是一样的，按照图示，逐一添加（一定要细看图示，每一步都不能落下），接着看图：



上面的红框里的权限是一样的，也是看图示（这是为了大家能看清楚，其实要在设置的时候，可以在允许和拒绝的两个里面一起选，除了上面的完全控制外，底下的选框，可以对应着一起来，也就是允许里打勾的，拒绝里就不要打勾，允许里没打勾的，就在拒绝里打上勾）接着看图：



到这里C盘根目录的权限就OK了，也许你看图会觉得好像是很麻烦的，等你自己设置的时候就知道了，其实很简单的，下面是system32文件夹里的cmd.exe权限设置，cmd.exe的权限设置过程我没有详细的标出，因为上面的你会了，这里的步骤也是一样的，就是权限设置不一样，在选用户组的时候就选这三个就行，然后在拒绝里都打上勾，回到这里就是这样了。接着看图：



下面是system32文件夹里的cacls.exe的权限设置，同cmd设置是一样的，就不多说了，接着看图：



下面是system32文件夹里的COM文件夹的权限设置，接着看图:





这里设置完了，就回到了下图，这里要详细的说一下，就是在最下面的小红框里要打上勾，然后应用，在弹出的对话框里点“是” ，点完“是”回到这个界面是那个红框里的勾就会没有了，你不要认为没选上，接着挨个都选一遍，最后按“确定”。最后一步看图：



至此设置完毕，我已经在没有任何杀软和HIPS的情况下运行了两遍，就是在病毒运行的时候会出现程序错误，然后会没有桌面几次（也就是这个病毒调用，explorer.exe失败，造成的程序错误引起的）再就是setup.exe应用程序错误，引起的内存不能为read，点了能有十来次确定，就恢复正常，会有一个后遗症，就是你选了显示隐藏文件，你也会看不到根目录的隐藏文件，但是除了根目录的以外，别的文件夹里的隐藏文件能看见，这个病毒是有点“变态”••呵呵 这是铁军说的，不过确实说的有道理。这个问题我也已经解决，把下面的复制到记事本，保存reg文件，导入即可！或下载附件。（导入后要回到文件夹选项里，重新设置显示隐藏文件，就可以看到隐藏文件了）

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

后话： 这两天绞尽脑汁就是本着为“菜鸟”想到简单、有效的、而且不影响电脑正常运行的办法这个思路（高手就根本用不到这个其实防磁碟机有N种方法）去想一个简单有效的方法适合菜鸟的，因为这些人不可能为了个病毒去学什么，怎么设置注册表（呵呵，这个我也玩不明白）、怎么设置组策略、甚至都有人不知道通配符和环境变量。

根据这两天的运行，发现windows清理助手可以完全的清理掉病毒的遗留文件（这是在病毒没有完全感染，还可以运行windows清理助手的情况下），在没有任何杀软、HIPS保护的情况下，按照上面的设置，运行病毒以后用windows清理助手和360安全卫生，进行全盘扫描，确认无任何遗留文件，然后用优化大师清理，OK！除了显示隐藏文件的注册表被恶意更改外，无任何异样。

最后：上面的设置在变态的作者还没有出现更变态的情况下，完全有效（这个有效是你在没有任何保护的情况下，运行这个病毒都不会中毒的！无论你是有意还是无意的都可以，这个设置只对磁碟机有效，别的病毒请不要尝试）


回2楼的俄罗斯朋友，你认为我的方法很麻烦吗？你的杀软每天都得升级病毒库，不麻烦吗？如果你不升级病毒库你再看看，你的杀软会不会让你麻烦，而且这个帖子也没有建议谁舍弃杀软，我的本意是挖掘系统自带的安全设置，它是不会占用你的系统资源的，你的杀软敢说不占用系统资源吗？你给我两个感觉一是没有细看我的帖子就盲目回帖，二是你很菜，根本就不知道所有的杀软都是病毒的跟屁虫，先有新的病毒后有新的病毒库，明白吗这就是有人已经中毒上报，你所谓的杀软才有对这个病毒的控制能力！！而系统自带的安全设置以及HIPS类的软件，如果规则弄好了，就可以防患于未然！

回6楼的朋友，到目前为止我还没有发现那款杀软敢保证它的用户不中毒，既然你有何不推荐一下，好让大家都远离病毒，那么咱们深度的病毒救援区也可以不用了！