| 词条 | 暴风一号 |
| 释义 | 暴风一号( Worm.Script.VBS.Autorun.be )这是一个由 VBS 脚本编写,采用加密和自变形手段,并且通过 U 盘传播的恶意蠕虫病毒。 病毒行为1、自变形病毒首先通过执行 strreverse() 函数,得到病毒的解密函数 解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。 所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。 2、自复制病毒会遍历各个磁盘,并向其根目录写入 Autorun.inf 以及 .vbs 文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。 病毒会将系统的 Wscript.exe 复制到 C:\\Windows\\System\\svchost.exe 如果是 FAT 格式,病毒会将自身复制到 C:\\Windows\\System32 下,文件名为随机数字。 如果是 NTFS 格式,病毒将会通过 NTFS 文件流的方式,将其附加到如下文件中。 C:\\Windows\\explorer.exe C:\\Windows\\System32\\smss.exe 3、 改注册表病毒会修改以下注册表键值,将其键值指向病毒文件。当用户运行 inf,bat,cmd,reg,chm,hlp 类型的文件,打开 Internet Explorer ,或者双击我的电脑图标时,会触发病毒文件,使之运行。 HKLM\\SOFTWARE\\Classes\\inffile\\shell\\open\\Command\\ HKLM\\SOFTWARE\\Classes\\batfile\\shell\\open\\Command\\ HKLM\\SOFTWARE\\Classes\\cmdfile\\shell\\open\\Command\\ HKLM\\SOFTWARE\\Classes\\regfile\\shell\\open\\Command\\ HKLM\\SOFTWARE\\Classes\\chm.file\\shell\\open\\Command\\ HKLM\\SOFTWARE\\Classes\\hlpfile\\shell\\open\\Command\\ HKLM\\SOFTWARE\\Classes\\Applications\\iexplore.exe\\shell\\open\\Command\\ HKCR\\CLSID\\{871C5380-42A0-1069-A2EA-08002B30309D}\\shell\\OpenHomePage\\Command HKEY_CLASSES_ROOT\\CLSID\\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\\shell\\ HKEY_CLASSES_ROOT\\CLSID\\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\\shell\\open\\Command HKEY_CLASSES_ROOT\\CLSID\\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\\shell\\explore\\command\\ 病毒还会修改以下注册表键值,用于使文件夹选项中的“显示隐藏文件”选项失效。HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\OHIDDEN\\CheckedValue HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue 病毒会删除以下键值,使快捷方式的图标上叠加的小箭头消失 HKCR\\lnkfile\\IsShortcut 病毒会修改以下注册表键值,开启所有磁盘的自动运行特性。 HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\oDriveTypeAutorun 病毒会修改以下键值,使病毒可以开机自启动 HKCU\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\load 4、 遍历文件夹病毒会递归遍历各个盘的文件夹,当遍历到文件夹之后,会将文件夹设置为“隐藏 + 系统 + 只读”属性。同时创建一个快捷方式,其目标指向 vbs 脚本,参数指向被病毒隐藏的文件夹。 由于病毒修改的注册表会使查看隐藏文件的选项失效,也会屏蔽快捷方式图标的小箭头,所以具有很大的迷惑型,让用户误以为打开的是文件夹。 5、 关闭弹出光驱每当系统日期中的月和日相等的时候(比如说 1 月 1 日, 2 月 2 日……以此类推),病毒激活时,会每隔 10 秒,打开并关闭光驱。打开光驱的次数由当前月份来决定(如 1 月 1 日,每激活一次病毒,就会打开并关闭光驱 1 次; 2 月 2 日,每激活一次病毒,就会打开并关闭光驱 2 次)。 6、锁定计算机会调用 mstha.exe 显示如下图片,并且锁定计算机,使用户无法操作。 7 、进程异常遍历进程,如果发现有 regedit.exe 、 taskmgr.exe、cmd.exe 等进程,就调用 ntsd 命令结束进程,使用户无法打开注册表编辑器,和任务管理器等一些基本的系统工具。 杀毒方法首先利用工具,结束掉所有 wscript.exe 以及路径在 C:\\windows\\system\\svchost.exe 的进程。 最好先用文件粉碎粉碎 C:\\windows\\system\\svchost.exe 运行“regedit”,打开注册表编辑器,找到 ”HKCU\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\load” ,查看其内容所指向的路径。在命令行下,运行 del 命令删除脚本文件。 使用 NTFS 文件流相关工具,删除附加在 explorer.exe 和 smss.exe 中的文件流。 使用文件关联修复程序,修复被病毒修改过的文件关联。 修复IE、我的电脑 的指向 删除每个磁盘根目录下的 autorun.inf 以及 vbs 文件。 鉴于此病毒创建病毒文件、路径还有自启动方式都都相当复杂,建议使用专业杀毒软件在安全模式下查杀。 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。