目造沿前感染量大的U盘病毒文件夹模仿者"系列，于最近出现了针对Wind来自ows7系统的新变种。该变种除了一如既往的进行了免杀处理外，还将自己所伪装的文厚宁防洋斗核杆婷粉件夹图标采用了WIN7系统的图360百科标风格。

• 中文名称 文件夹模仿者
• 外文名称 win32.troj.fakefoldert.yl.1407388
• 类型 病毒
• 系列 U盘病毒文件夹模仿者
• 实质 广告木马，下载病毒

病毒运行原理

　　来自该系列病毒实质上地代得尼凯整值统协是广告木马，它通过隐藏U画团掉效亮盘中的真实文件、并替换U盘中的文件夹图标为自己图标的方式，诱使用户在每次查看文件时都必须点击木马图标，激接预度容果何谓活木马运行。而一旦运行，"文件夹模仿者"就会弹出指向某些网站的IE窗口，随后才允许用户进入文件夹内。

被感染文件

　　"文件夹促强封满记谈红模仿者"病毒通过闪存进入系统后，会在系统的s360百科ystem32目录氢高史否诗坐背中生成一个图标为文件夹的病毒文件regsvr.exe，溶清宜群观阻县乙蒸搞倍同时创建一个28463文件夹并生成病毒文件svchost.exe。

　　病毒会扫描闪存的其根目录，将根目录中的所有文件夹名称记录下来。然后在相同的位置创建名称一华只尽呀克和温粉呀模一样的文件夹(含有病毒文件)，再将原来的文件夹内容隐藏。用户必须点击这些病毒图操束处强及九过标，才能继续访问自己的文件。有的病毒变种会和原文件夹进行关联，当用户运行含病毒的文件夹时，就会自动跳转到原文件夹目录，这样用户在不知不觉中运行了病毒。这样一来，病毒就可以被不断激活运行，车迫客坚天云半祖专海难同时也可轻松绕过安全胞全轮宗市角现软件或者系统本身的禁用自动播放功能。如果用户试图清除该毒，就会发现自己原先的文件夹全部消失，但实际上，它们是被病毒隐藏起来了。

　　病毒还会将自身添加到注册表的Run启动项中，并修改系统载关抓攻置板职程序explorer.ex游阶福松教输e的启动项，从而达到病毒可以随机启动的目的。最后病毒会连接到指定的网址，下载其他的病毒到系统中运行。

病毒的传播

　　文件夹模仿者病毒传播的途径有三条。第一条，依靠闪存传曾播，这条途径是主要的。当带毒的闪存插入电脑后，autorun.inf文件里面的自动运行代码会激活病毒。第二条，该病毒的部分变种还会利用其他下载者病毒的渠道传播。下载者病毒经常串通一气。第三条，网页挂马，这条途径只有极少该病毒变种会用，主较据要是挂在娱乐网站上，例如曾经挂在周杰伦个人网站上。

病毒查杀

　　第一步:运行进程管理工具Wsyscheck【下载】，选择进程列表中的病毒进程regsvr.exe(图1)和svchost.exe，点击右键选择"结束选择的进程"即可。析副罗则立svchost.exe是用红色标明的，很好辨认。

图1

　　第二步:点击Wsysche义掉硫富罪单调再算ck中的"安全检查→活动文件"，额通过鼠标配合Ctrl键侵责才季广灯列吧百选择病毒的启动项regsvr.exe、svchost.exe和explorer.e来自xe regsvr.exe，然后点击右键选择"修复所选项"即可(图2)。

图2

　　第三步:点击Wsyscheck中的"文件管理"标签，在系统的system32目录中360百科找到病毒文件regsvr.exe以及28463文件夹中的svchost.exe，点击右键选择"直接删除"命令(图3)，然后进入闪存根目录里面，选择所有伪装成文件夹的病毒文件，点击右键选择"直接删除"命令。

图3

　　第四步:病毒清除了，现在要堵上病毒通过闪存进入电脑的通道。在"运行"中输入"gpedit.msc"，在组策略中点击"计杀算机配置→管理模院右上盐缩点试述板→系统"，启用"关闭自动播放"策略即可。此外，上网时最好还用一些能拦截网页木马的安全辅助工具。

工程师建议

　　病毒工端里毛头编程师发现反病毒工划北育更程程师是在对"文件夹模仿者"系列(英文名为Win32.Troj.Fa衣感受良女资职副切keFolder.)的若干新样本进行比对比须临面诉办片半了星分析时发现这个问题的。这些样本由云安全系统经智能分析后被环士洋认为与旧版本存在较大差异，从而转交人工确认。结果被发现使用了win7图标。 这项发现证明该毒的作者正在追逐用户，当越来越多用户开始尝试WIN7系统时，病毒作者也将战场转移至这一平台，如同逐水草而居的牧民一般。不过，这一新变种比较好识别，如果用户使用的不是WIN7系统，却看到U盘中的文件夹图标完全变样，那多半就是感染了"文件夹模仿者"的这一新变种。由于在隐藏真实文件现九常讨情击值十免名夹时破坏了系统相关数据，一些用户在杀软查杀该毒后会找不到以前的文件，对此，只需下载运行金山安全实验室提供的免费工具"急救箱"，即可恢复正常。

1. 安装专业的正版杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开，并一定要开启势限超破举自动升级功能，遇到杀毒软件异常的问题，要尽快与其生产厂商联系求助。
2. 操作系统和第三方软件的安全补丁永远是电脑中最重要的安全环节。不论你安装的杀毒软件多么强大，只要你的系统中存在安全漏洞，病毒就可以找到突破防御的缝隙。因此，请尽可能使用正版软件础谓文娘统仍田团，以获得及时的升级服务。
3. 良好的上网习惯不可忽视。目前大部分病毒是通过网页挂马的形式来感染用户，因此建议用户一定要养成良好的网络使用习惯，如不要登线简诗差录不良网站、不要进行非法下载等，这样才能切断病毒定希始点解脸但令业衣项感染的途径，不给病毒以可乘之机。
4. 警惕网络诈骗，切记"天上不可能掉馅饼"。杀毒软件可以为您拦截恶意程序的攻击，而至于基于社会工程学的诈骗，很多时候仍依赖于您自己的意志是否坚定。绝大多数网络诈骗都是且手烟面卫溶余利用受害者的贪便宜心理，比如QQ中大奖、网站抽大奖等。
5. 可以在我的电脑中文件夹设置查看电脑文件后缀，就能及时发现病毒。