感染過程:
初始化:
1.初始化:
(1)讀取下列註冊表內容,將Username的值賦給GetUserName,否則將其值設為Administrator;
"HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\
{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\Username"
(2)讀取下列註冊表內容賦於GetFSOName,否則將GetUserName的值設為Scripting.FileSystemObject;
HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID\;
(3)讀取%system%目錄下%GetUserName%.ini檔案第三行的數據,如果為Admin則彈出內容為"You Are Admin!!! Your Computer Will Not Be Infected!!! "的訊息框;並提示用戶輸入相應數值進行如下操作: "0:退出; 1:監視系統; 2:傳染檔案, SuperVirus腳本測試!"
2.運行後具體病毒行為:
(1)運行病毒病毒會將自身副本複製到如下系統目錄,並將其屬性設定為系統、隱藏:
%WINNT%\%GetUserName%.vbs;
%system%\%GetUserName%.vbs;
各個分區根目錄的%GetUserName%.vbs;
(2)遍歷磁碟,當磁碟類型為DRIVE_NO_ROOT_DIR,DRIVE_REMOVABLE,DRIVE_FIXED時生成Autorun.inf,目的為使得用戶採用滑鼠雙擊、右鍵打開和右鍵資源管理器打開檔案時,將病毒檔案運行起來;
(3)生成%system32%\%GetUserName%.ini,這是病毒的配置檔案。
(4)感染和破壞過程如下:
遍歷磁碟中擴展名為"hta", "htm" , "html" , "asp", "vbs"的檔案,並將自身插入到這些檔案的頭部,生成有效腳本檔案實現感染。該病毒在感染前會首先判斷系統中的腳本是否已經被感染,該腳本感染後,會將感染標記標記在腳本的指定位置,不重複感染。
(5)修改註冊表:
<1>添加自身的啟動載入項:
"HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Load" 值為%SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1
<2>修改檔案關聯:
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\", %SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(類型)
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command\", %SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(類型)
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\",
%SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(類型)
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command\", %SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(類型)
<3>修改瀏覽器顯示資料夾屬性,隱藏檔案:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL\CheckedValue",0(值), "REG_DWORD"(類型)
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\ShowSuperHidden",0(值), "REG_DWORD"(類型)
<4>打開系統自動播放功能: "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer\NoDriveTypeAutoRun",129(值), "REG_DWORD"(類型)
(6)病毒具有監視系統功能,當用戶選擇監視系統時,病毒會監視如下的進程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "regedit.exe", "regedit.scr", "regedit.pif", "msconfig.exe", "SREng.exe", "USBAntiVir.exe",發現後就結束該進程,然後執行感染功能;
(7)病毒將記錄感染腳本的數量,當感染腳本的數量超過200時,會自動彈出訊息框,內容為"您已有超過2000個檔案被感染!不過請放心,此病毒很容易被清除!請聯繫418465***-_- !";
(8)病毒將感染檔案的信息記錄到%system %目錄下的%GetUserName%.ini中,如感染日期等;
(9)病毒被其設計者劃分為幾個主要個功能模組,這些模組以指定的串作為開頭和結尾的標誌,病毒實現這些模組位置在感染過程中的相互位置變換,以及模組標誌的命名變化。
3.該病毒特點如下:
(1)病毒實現感染過程中的模組位置變換,增加部分防毒軟體公司的處理難度;
(2)病毒有自身的版本,當用戶運行該病毒的更高版本時,其各系統盤的副本會實現替換更新,其Autorun.inf檔案的檔案指向也會隨之變更;
(3)病毒體內本身預留了防毒和系統註冊表恢復的代碼,感染後會提示用戶聯繫其作者索取防毒功能,有明顯的訛詐意圖。
病毒信息
病毒名稱:色情終結者
威脅級別:★★☆☆☆
病毒類型:網頁病毒
病毒長度:33842
影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行為:這是一個感染腳本和網頁檔案的病毒。它運行時會關閉任務管理器、註冊表編輯器、瑞士軍刀註冊表修復工具、360安全衛士等系統進程和安全軟體,將自己擴散到所有磁碟中,感染全部的正常VBS腳本檔案,還會刪除名稱與色情有關的avi, mpg, rm, rmvb格式的視頻檔案。
1. 病毒運行後,產生以下病毒檔案:
%SystemRoot%\%UserName%.vbs
%SystemRoot%\System32\%UserName%.vbs
%SystemRoot%\System32\%UserName%.ini
以上的檔案名稱根據用戶的電腦不同有所區別, 一般為當前的用戶名或Administrator. 下同.
2. 在每個盤的根目錄下生成autorun.inf和%UserName%.vbs. autorun.inf指定當用戶雙擊打開分區或點右鍵
選擇資源管理器時, 運行病毒程式.
3. 病毒運行時, 會關閉打開的任務管理器, 註冊表編輯器, msconfig, 命令行提示符, SREng, 360安全衛士等
軟體.
4. 感染用戶電腦上的所有以vbs為擴展名VBScript腳本檔案和以hta, htm, html, asp為擴展名的網頁檔案.
5. 刪除用戶電腦上以avi, mpg, rm, rmvb為擴展名且檔案名稱中含有特定字元串的視頻檔案.
6. 有時會顯示訊息框, 內容為"您已有超過2000個檔案被感染!不過請放心,此病毒很容易被清除!請聯繫418465***-_- !", .
7. 修改註冊表, 將病毒設定為隨系統啟動.
8. 修改註冊表, 使用戶無法通過設定資料夾選項顯示隱藏檔案, 也無法顯示受保護的作業系統檔案.
9. 將病毒檔案設定為txt, hlp, chm, reg等類型檔案的關聯程式, 當用戶雙擊打開這些類型的檔案時, 都會執行
病毒程式.
10. 病毒可以通過隨身碟, 軟碟和windows網路共享傳播.