（9）“文件夹寄生虫”及其变种

　　病毒名称：Checker/HideFolder

　　中 文 名：文件夹寄生虫

　　病毒类型：寄生虫病毒

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描 述：

　　该类病毒通常会将硬盘根目录下的正常文件夹隐藏，将自身伪装成文件夹样式图标，并将自身命名为被隐藏文件夹的名称。

　　Checker/HideFolder “文件夹寄生虫”病毒图标为文件夹图标，采用“Microsoft Visual C++ 6.0”编写。“文件夹寄生虫”病毒运行后，会在被感染计算机系统的“%SystemRoot%\system32\”文件夹下分别释放恶意组件文件“icccy.dll”、“taoba_1.dll”、“cpa_1.exe”。会强行篡改被感染计算机系统中的注册表项，使IE浏览器启动后自动访问骇客指定的站点“hxxp://www.771234.net”。同时会在被感染计算机的后台遍历除系统盘以外的所有盘符，将文件夹的属性都设置为系统、只读、隐藏，并在当前目录下生成（病毒自我复制）一个与被隐藏的文件夹同名的“.exe”病毒程序（该病毒图标为文件夹图标）。通过这样的伪装后，当用户在打开文件夹时，其实上运行的却是病毒程序，随后病毒会再把用户当前要打开的文件夹自动打开，起到欺骗用户的目的。

　　（10）“恶小子”及其变种

　　病毒名称：VBS/Fineboy

　　中 文 名：恶小子

　　病毒类型：VBS脚本病毒

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　描 述：

　　以VBS/Fineboy.a为例，“恶小子”变种a采用“Visual Basic Script”脚本语言编写，并且进行了加密处理。“恶小子”变种a运行后，会自我复制到被感染系统每个分区的根目录下，并根据该分区的序列号重新命名。隐藏该分区根目录下的文件夹，同时生成对应的快捷方式，以此实现在打开文件夹的同时激活恶意脚本。还会生成“autorun.inf”文件，从而利用系统自动播放功能进行自启。“恶小子”变种a会大量修改系统注册表，致使“显示系统隐藏文件及文件夹”功能失效。篡改“txt”、“inf”、“bat”、“chm”等等扩展名的文件关联，当用户打开这些文件的时候，会首先运行恶意脚本。同时其还修改了“IE”、“我的电脑”等的打开方式。“恶小子”变种a会不断监视系统中的进程，并且会试图关闭一些指定的安全软件以实现自我保护。定时检测系统中自身的运行数量，如果小于指定数量便会试图通过“svchost.exe”运行自我，以此实现了自我保护，防止被轻易地查杀。“恶小子”变种a会在月份数字与日期数字相同时反复弹出光驱以及生成并打开网页文件“BFAlert.hta”。另外，如果用户计算机的系统分区类型为“NTFS”，“恶小子”变种a则可以利用一些系统特性实现开机自启。