该病毒的具体分析参见 "恶邮差"变种U(即"爱情后门"变种V)分析报告 M。这个病毒很可恶的地方就是将磁盘所有的exe文件改成zmx后缀文件,并且将其属性设置为系统文件和隐藏文件。很多软件都可以清除该病毒,不过修复被感染的exe文件可能比较麻烦。下面这个python程序首先调用windows的cmd命令,将感染文件的属性设置回原来的正常属性,然后利用递归来恢复被感染文件的后缀名。
#recover all infected .ZMX file
import os
count=0 # Global 变量
os.system(r'attrib -s -h *.zmx /s') #所有感染文件感染后的属性是系统文件和隐藏文件
#括号内的参数实际上是windows的shell命令,其作用为修改感染文件属性为为普通属性
cwd=os.getcwd()#获得当前文件夹
#core函数是一个递归函数,将所有感染的ZMX文件后缀改回到.exe
def core(n_dir):
global count
print 'now in'+n_dir
os.chdir(n_dir)
li=os.listdir(n_dir)
lifile=[x for x in li if '.ZMX' in x]
if len(lifile)!=0:
print lifile
for f in lifile:
os.rename(f,f.replace('.ZMX','.exe'))
print 'file'+f+'is cured successfully!'
count+=1
lidir=[x for x in li if os.path.isdir(x)]
if len(lidir)==0:
return
print lidir #just for debug
for d in lidir:
core(n_dir+'\\'+d)
if __name__ == "__main__":
core(cwd)
print "congratulations!!"+str(count)+" infected files r found in"+cwd+' and they r all successfully cured!!!'
raw_input("Press any key to end program") #该语句可以避免命令行窗口自动关闭
将该文件置于某个目录(比如c盘根目录)运行时,可以修复该目录下所有病毒感染文件。可以稍作修改,先获取系统的分区,然后从每个分区根目录运行上面函数。值得注意的是当文件数目比较多,目录层次较深时,该程序可能比较费时(例如,我用该程序修复本人电脑F盘内感染文件时,程序运行花了两分钟左右。而该分区含文件个数69751个,文件夹数目是1216个,该分区的大小是28.9G)。该程序的递归算法显然效率上不是很令人满意。
实际上,可以全部利用shell命令来解决问题,将下列命令保存为.bat文件,或者利用python的os.system()函数来执行下面的语句
@dir /b /s *.zmx>zmx_file.txt
@for /f "delims==" %%a in (zmx_file.txt) do ren "%%a" *.exe
@del zmx_file.txt