最近北京江民科技反病毒研究中心发现了一种采用rootkit 技术隐藏自身进程的木马trojan/delf.cm，中文名称：文件夹隐藏者木马。该木马能隐藏驱动器里的目录，具有较强的隐蔽性。
该木马采用 delphi 工具编写，病毒运行后，将创建下列文件：
 %systemdir%\sys.exe , 36864字节
在注册表中添加下列启动项：
[hkey_local_machine\software\
microsoft\windows nt\
currentversion\winlogon]
"shell" = explorer.exe sys.exe 
这样，在windows启动时，病毒就可以自动执行。
感染的平台为win nt/2000/xp。

有趣的是，该木马发作的时候，会在用户的电脑中弹出以下消息：
satan"s day!!! more curse more death!!!
satan"s dinner!!! more blood more flesh!!!
 

当病毒发作后，会隐藏自身进程，用江民未知病毒检测程序会扫描出其可疑概率高达97 ％ ！
如下图：
 

 木马通过修改注册表实现开机自启动，如图：

 


这个木马文件最大的隐蔽之处就是会遍历硬盘里面的文件夹，并且将原来的文件夹隐藏起来，自身生成一个和原文件夹同名的 .exe文件，引诱用户点击，如图：

 


 



清除方法：

方法 1.  升级kv 2006  杀毒软件到最新的病毒库，全盘杀毒即可。

 


方法 2. 在由于没有互联网连接的电脑导致不能升级的情况下，可以把c:\windows\system32\sys.exe 文件添加到自定义样本库中，然后扫描样本库即可。操作如图：

 


 



 



好了，对于被病毒隐藏起来的文件夹，把它的文件夹隐藏属性恢复一下就可以了。操作如图：
 


这样，这个狡猾的木马就彻底清除了！

江民科技反病毒研究中心提醒广大计算机用户，一定要安装反病毒软件，及时升级查杀病毒库，开启实时监控保护计算机的安全。