最近，小編發(fā)現(xiàn)一些用戶電腦上的軟件變成了._cache_ude，而正常狀態(tài)下的軟件顯示是ude，如下圖所示：

那這兩個(gè)應(yīng)用程序有什么區(qū)別呢？

“ude”就是一個(gè)普通的應(yīng)用程序，雙擊即可運(yùn)行使用。

“._cache_ude”是被Synaptics.exe感染的病毒文件。Synaptics.exe是蠕蟲(chóng)木馬，具有感染性，其屬于蠕蟲(chóng)類感染性病毒。如果軟件名前有 ._cache 的話，就說(shuō)明你的程序已經(jīng)被病毒Synaptics.exe感染了。

感染性病毒Synaptics.exe有什么特點(diǎn)？

1. 行動(dòng)軌跡（并行操作不分先后）：

一是：其在C:\ProgramData\Synaptics創(chuàng)建原始病毒文件夾，內(nèi)含“WS”子文件夾(為空)和“Synaptics.exe”文件（大?。?54KB）。

二是：其在C:\用戶\***\AppData\Local\Temp中，釋放文件“qk3296d7.exe”（大?。?53KB，CRC32:7EB2AB4D)。

2. 病毒感染特點(diǎn)：

① 運(yùn)行第一次感染的可執(zhí)行程序，并使用其感染程序圖標(biāo)，其后隨著使用者運(yùn)行感染程序而改變。

② 可執(zhí)行程序被感染后，右鍵屬性后發(fā)現(xiàn)“描述”內(nèi)容被改變?yōu)椋骸癝ynaptics Pointing Device Driver”。

③ 被感染文件首次執(zhí)行時(shí)會(huì)在同文件夾內(nèi)新產(chǎn)生一個(gè)和感染文件同名且前綴為：“._cache_”的病毒文件。

④ 系統(tǒng)被感染后，對(duì)任何插入的U盤，都會(huì)被病毒搜索到，并立即采取遍歷可執(zhí)行文件的方式感染。成為新的感染源，使用者在不知不覺(jué)中，只要在其它電腦上運(yùn)行U盤中的程序，就會(huì)感染其它電腦。

⑤ 病毒只感染可執(zhí)行文件，無(wú)法感染壓縮文件。

⑥ 病毒首次在硬盤或U盤被觸發(fā)傳染時(shí)，硬盤燈或U盤指示燈會(huì)狂閃（說(shuō)明在病毒在瘋狂感染文件，也就是寫文件的過(guò)程），同時(shí)會(huì)莫名彈窗提示文件沒(méi)有權(quán)限，這可能是病毒Bug，也是提醒我們系統(tǒng)已經(jīng)異常的警報(bào)。

⑦ 其在注冊(cè)表中創(chuàng)建2個(gè)啟動(dòng)項(xiàng)：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mydesk]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mydesk"
"hkey"="HKCU"
"command"="C:\\Users\\WWH\\Desktop\\mydesk 1.0.7.0\\mydesk.exe"
"inimapping"="0"
"YEAR"=dword:000007e4
"MONTH"=dword:00000004
"DAY"=dword:00000002
"HOUR"=dword:00000017
"MINUTE"=dword:0000001e
"SECOND"=dword:0000001e

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Synaptics Pointing Device Driver]
"key"="SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Synaptics Pointing Device Driver"
"hkey"="HKLM"
"command"="C:\\ProgramData\\Synaptics\\Synaptics.exe"
"inimapping"="0"
"YEAR"=dword:000007e4
"MONTH"=dword:00000004
"DAY"=dword:00000002
"HOUR"=dword:00000017
"MINUTE"=dword:0000001e
"SECOND"=dword:0000001e

3. 處理方法：

① 先刪除病毒的自啟動(dòng)項(xiàng)（其在注冊(cè)表中創(chuàng)建的2個(gè)啟動(dòng)項(xiàng)，上文⑦中所示）。

② 再刪除病毒本體及復(fù)制體文件及文件夾（上文行動(dòng)軌跡中所示的文件及文件夾）。

③ 用火絨全盤查殺，并重新啟動(dòng)系統(tǒng)，再次全盤查殺。【注意：第一遍全盤查殺后一定要重啟電腦，然后不要開(kāi)啟任何軟件再查殺一遍】

④ 最后系統(tǒng)正常，刪除火絨隔離區(qū)內(nèi)的備份的病毒文件。

4. 感染性病毒簡(jiǎn)介

① 感染型病毒，就是將自身隱藏在其它執(zhí)行程序中，達(dá)到傳播和作惡目的。只要被感染的程序運(yùn)行，病毒也就跟著激活了。病毒和被感染的程序就像宿主和寄居的關(guān)系，只要不破壞宿主，用戶就很難發(fā)現(xiàn)程序確實(shí)中毒了，病毒也得以繼續(xù)隱藏、作惡，比如竊取你的上網(wǎng)信息、回傳系統(tǒng)信息、開(kāi)后門下載其它病毒等等。更可惡的是，還能繼續(xù)感染電腦上其它可執(zhí)行的程序，影響甚大。

② 感染型病毒具備寄生性、傳染性、潛伏性，隱蔽性、破壞性、可觸發(fā)性等等各種特征，確保不讓用戶發(fā)現(xiàn)還能做壞事。

③ 如若沒(méi)有特殊要求，盡量還是安裝一個(gè)殺毒軟件。

Miranda

收藏 海報(bào)分享