[电脑病毒]快捷方式病毒(U盘文件变快捷方式)

这个病毒似乎和暴风一号不太样，不会修改隐藏快捷方式的箭头图标。首先这个病毒是VBS脚本写的，实际上就是隐藏文件，但是是病毒总有传播性，接下来让我们一起看看有关这个病毒。本文末尾提供了病毒副本的下载，以及博主写的恢复U盘文件的bat脚本下载(windows使用)。[原创文章转载请注明]

最近几天同学说他U盘上的东西打不开，让我看看，我打开一看，全是快捷方式，起初还以为是同学复制时候只复制了快捷方式进U盘，所以让他重新复制。 没几天又说文件删除不了让我看看，插上U盘打开快捷方式，我发现进文件夹可以进去，但是快捷方式删除一会儿又会出现。然后才意识到了U盘中病毒了，当然，病毒已经被复制到系统C盘了，具体位置不知道，此时其他U盘插入电脑也会被感染。 点击快捷方式可以进入文件夹，所以博主知道文件是被隐藏了，于是设置显示被隐藏文件和文件夹，被隐藏的文件都出来了，博主发现U盘根目录下有个vbs格式文件(这个就是病毒文件)，因为所有的快捷方式都是调用cmd.exe 运行这个vbs文件(C:Windowssystem32cmd.exe /c start 蠕虫病毒（vbs脚本）.vbs&start PIC_20131217_125810_590.jpg&exit)，但是文件属性无法修改。于是以文本形式打开了vbs这个文件，另存为txt格式。

于是百度查询了下，发现可以用DOS命令处理，但是百度上的方法都没成功，于是博主就用电脑管家查杀了病毒。U盘数据都正常显示了。自此，查杀结束。

查杀结束了但是研究还没结束呢，手动删除U盘上的病毒的研究才开始，于是查询了有关VBScript脚本的相关资料，并在虚拟机里研究起了这个病毒。 病毒的部分代码截图

![34[E)]03NA2M$@88UE%NK.png][6] 以下的病毒是博主在虚拟机+一个u盘测试并得出的方法。 首先U盘里面全是快捷方式，查看了快捷方式的属性发现是连接到cmd.exe运行vbs这个文件的(具体链接地址 C:Windowssystem32cmd.exe /c start 蠕虫病毒（vbs脚本）.vbs&start PIC_20131217_125810_590.jpg&exit)，只要打开这些快捷方式，电脑就会感染病毒。

设置显示隐藏文件

被隐藏的文件属性灰色不能修改

根目录可以发现病毒文件vbs格式(当然这是博主放在虚拟机里面的)所以病毒名字是博主改成中文了。

博主尝试格式化U盘，但打开U盘后，病毒文件任然存在。放文件进入依旧变成快捷方式，由此得出结论:格式化完以后，病毒又被自动复制到U盘。说明病毒已经复制到了电脑。奇怪的是C盘根目录会多了一些文件。但是这些文件似乎和病毒没多大关系，暂时无解。 百度到的方法都不行，下面透露下博主的方法。 打开任务管理器，找到wscript.exe停止进程，进U盘删除快捷方式和vbs病毒文件(如果不停止进程wscript.exe，删除快捷方式和病毒文件，几秒后，快捷方式和病毒又出现在U盘)。

打开开始菜单运行 输入cmd调用cmd控制台，输入你的盘符:(如果无法直接删除快捷方式和病毒文件，请执行del .lnk .vbs)然后执行attrib -r -s -h /s /d 文件回来了，但是，拔掉U盘后记得用杀毒软件全盘扫描C盘，否则重启电脑后插入U盘，还会感染U盘。 恢复成功。

病毒副本(改为vbs格式可以运行 *谨慎操作):病毒副本下载 杀U盘病毒脚本:windows查杀U盘快捷方式蠕虫病毒脚本