【IT专家网独家】前几天帮朋友杀毒，杀完毒也顺便把这个病毒抓了回来。今天就对它进行一个逆向分析，看看它到底是如何运行的。

　　环境说明：一安装有Windows XP的虚拟机。

　　对象：U盘病毒一只

　　工具：

　　PEID(查壳工具)

　　Ollydbg(动态反汇编工具)

　　一、诱敌深入，初识病毒

　　1.这是一个U盘病毒，首先在虚拟机上运行它让自己中毒。中毒后通过任务栏上“安全删除硬件”图标删除U盘，提示“现在无法停止‘通用卷’设备，请稍候再停止该设备”。这是必然的，因为病毒在运行，U盘设备被病毒调用。(图1)

                                                 图1

　　2.下面看看病毒到底在硬盘上创建了哪些文件，因为病毒文件大部分都是隐藏属性，所有先要让系统显示隐藏文件。方法是：打开“我的电脑”，选择“工具”菜单中的“文件夹选项”，在“查看”选项卡的“高级设置”下依次勾选“显示系统文件夹的内容”、“显示所有文件和文件夹”，取消对“隐藏已知文件类型的扩展名”的勾选，这样设置后一般的隐藏文件都现形了。(图2)

                                                  图2

　　3.打开“我的电脑”，进入根目录看看。经验告诉我们这是不要直接双击打开，用鼠标右键点击盘符看到第一项变成了“Auto”(图3)

                                                                图3

　　(一般正常情况下是“打开”)，选择“资源管理器”进入磁盘根目录。非常明显在根目录下多了一个文件，一个目录，文件是autorun.inf，目录为RECYCLER，它的图标就是回收站图标，并且都是隐藏属性。进入RECYCLER目录可以看到两个文件，一个为info.exe，另一个为desktop.ini，也是隐藏属性。(图4)

                                                                  图4

　　双击打开autorun.inf文件，可以看到如下内容：

　　评析：这个U盘病毒很狡猾，首先它把自己隐藏在一个类似“回收站”的图标下，另外，通过autorun.inf达到双击盘符自动运行。

　　双击打开desktop.ini文件，可以看到如下内容：

　　评析：把自己的图标改变成“回收站”的图标，更加隐蔽。