机房一向都是病毒重灾区,这不,我为了到机房复制一份资料,U盘就不幸中招了,经过分析,确认为MS-DOS病毒,该病毒首先将U盘里的所有文件夹的属性设置为隐藏,同时生成文件夹名.exe并且图标为文件夹的病毒文件,最后又在U盘的根目录下生成MS-DOS和autorun.inf这两个文件。
刚开始,我以为这只是个普通的校园病毒,于是就按照常规方法来进行杀毒。直接在机房的电脑里杀毒,打开“我的电脑”,在“工具”一“文件夹选项”的“查看”里选择显示文件扩展名以及显示隐藏文件,然后进入U盘,删除病毒以及病毒生成的文件,可是结果却让我傻了眼,病毒生成的.exe文件删完之后又出现了,而且autorun.inf根本就无法删除,提示有程序正在使用该文件。我又试着在CMD命令提示符下来删除,同样也是提示无法删除。这让我很惊讶,如果说删除完的病毒再次出现可以用病毒的自我复制来解释的话,那么autorun.inf无法删除又该怎么来解释呢?可能有人会说,有没有可能是病毒将autorun.inf文件使用隐藏方式打开了呢?我一开始也是这么认为的,但我做了一个实验后,就把这种可能给否定了。
首先,在你的U盘里建立一个autorun.inf文件,打开并输入一些内容,不要关闭窗口,然后我们到U盘里将其删除,可以看到autorun.inf文件被删除了并且也没有任何的提示,所以说病毒肯定不是将autorun.inf文件用隐藏方式打开的,看来这不是一般的MS-DOS病毒啊!于是我又想,既然是病毒在搞鬼,那就换台干净的电脑来查杀吧。
将中毒的U盘插入到一台干净且关闭了自动运行功能的电脑中,同样的,打开“我的电脑”,在“工具”——“文件夹选项”的“查看”里选项显示文件扩展名以及显示隐藏文件。因为U盘根目录下有autorun.inf这个文件,如果直接双击打开U盘,那么这台电脑也得中毒,所以我们从资源管理器中来打开U盘。可以看到我们的文件夹都被隐藏了,还可以看到病毒生成的一些东西。
试着删除autorun.inf文件,成功了,果然是病毒在搞鬼,接着我又把病毒生成的其它文件统统删除掉。现在就剩最后一步了,就是把被隐藏的文件夹属性更改回来。我们右键点击被隐藏的文件夹,选择“属性”,可眼前的情况却让我再次傻眼了,“隐藏”选项被勾选上了,而且是禁止更改的灰色状态,这是怎么回事呢。难道这个病毒可以在不运行的情况下来更改我们系统的设置吗?病毒是杀掉了,但不能总让我U盘里的文件夹一直隐藏着吧,那多麻烦啊!
我突然又想到,病毒对文件夹所能做的修改只有重命名和修改属性,文件夹名字没有问题,那么问题就应该是出在属性上。大家都知道,一个文件夹的属性总共有4种,分别为只读、隐藏、存档和系统,但在属性界面里我只看到了前三种属性,系统属性却没有看到。如果文件夹有系统这个属性,那么就会使隐藏这个属性被禁用,所以我就想到了要先把系统属性去掉。那么要如何去掉系统属性呢?在属性界面里现在也看不到啊,对了,我们还可以使用系统命令来修改,在Windows系统中用来修改属性的命令为ATTRIB,它的使用格式及参数是这样的:
所以我们在CMD命令提示符下依次执行命令CD H:(H为U盘的盘符),ATTRIB -H -S 文件夹名,现在来刷新一下我们的U盘,文件夹变正常了。
至于病毒是如何让autorun.inf无法被删除的,是事后我才知道的,原来病毒采用了二进制的方式打开了autorun.inf,这样就会提示无法删除了。我们可以使用VB来实现这一功能,在VB里,使用二进制打开文件的语法为:
其中path为要打开文件的路径,“……”是要对文件进行的操作,因为我们只要打开就行,所以具体的操作就省略了。Close是保存并关闭这个文件,但如果没有close这句,程序也是可以编译成功的。
我们新建一个VB程序,双击forml,直接输入open“H:\autorun.inf”for output as#1,然后执行该程序,先不要关闭,再返回到D盘里,就会看到生成了一个autorun.inf文件,试着删除它,就弹出无法删除的提示了,因为我使用的是Windows7系统,所以系统给出的提示是VB正在使用该文件,但在XP系统里只会提示说有程序正在使用该文件。最后我们关闭该程序后再进行删除,就可以成功删除了。
至此,MS-DOS病毒的原理和手工杀毒方法就给大家介绍完了,希望能给大家们带来一点儿帮助。