風暴一號病毒

HKLMSOFTWAREClassescmdfileshellopen HKCUSoftwareMicrosoftWin HKCUSoftwareMicrosoftWin

風暴一號病毒概述

病毒描述:這是一個由VBS腳本編寫,採用加密和自變形手段,並且通過隨身碟傳播的惡意蠕蟲病毒。
病毒行為:

1、 自變形

病毒首先通過執行StrReverse()函式,得到病毒的解密函式
解密代碼如下:
這段代碼會讀取腳本檔案的注釋部分,將其解密之後
解密運行病毒之後,病毒會重新生成密鑰,將病毒代碼加密之後,再將其自複製。
所以病毒每運行一次之後,其檔案內容和病毒運行之前完全不一樣。

2、 自複製

病毒會遍歷各個磁碟,並向其根目錄寫入Autorun.inf以及.vbs檔案,當用戶雙擊打開磁碟時,會觸發病毒檔案,使之運行。
病毒會將系統的wscript.exe複製到C:WindowsSystemsvchost.exe
如果是FAT格式,病毒會將自身複製到C:WindowsSystem32下,檔案名稱為隨機數字。
如果是NTFS格式,病毒將會通過NTFS檔案流的方式,將其附加到如下檔案中。
C:Windowsexplorer.exe
C:WindowsSystem32smss.exe

3、 改註冊表

病毒會修改以下註冊表鍵值,將其鍵值指向病毒檔案。當用戶運行inf,bat,cmd,reg,chm,hlp類型的檔案,打開Internet Explorer,或者雙擊我的電腦圖示時,會觸發病毒檔案,使之運行。
HKLMSOFTWAREClassesinffileshellopenCommand
HKLMSOFTWAREClassesbatfileshellopenCommand
HKLMSOFTWAREClassescmdfileshellopenCommand
HKLMSOFTWAREClassesregfileshellopenCommand
HKLMSOFTWAREClasseschm.fileshellopenCommand
HKLMSOFTWAREClasseshlpfileshellopenCommand
HKLMSOFTWAREClassesApplicationiexplore.exeshellopenCommand
HKCRCLSIDshellOpenHomePageCommand
HKEY_CLASSES_ROOTCLSIDshellopenCommand
病毒還會修改以下註冊表鍵值,用於使資料夾選項中的“顯示隱藏檔案”選項失效。
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue
病毒會刪除以下鍵值,使捷徑的圖示上疊加的小箭頭
消失。
HKCRlnkfileIsShortcut
病毒會修改以下註冊表鍵值,開啟所有磁碟的自動運行特性。
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutorun
病毒會修改以下鍵值,使病毒可以開機自啟動
HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload

4、 遍歷資料夾

病毒會遞歸遍歷各個盤的資料夾,當遍歷到資料夾之後,會將資料夾設定為“隱藏+系統+唯讀”屬性。同時創建一個捷徑,其目標指向vbs腳本,參數指向被病毒隱藏的資料夾。
由於病毒修改的註冊表會使查看隱藏檔案的選項失效,也會禁止捷徑圖示的小箭頭,所以具有很大的迷惑型,讓用戶誤以為打開的是資料夾。

5、 關閉彈出光碟機

每當系統日期中的月和日相等的時候(比如說1月1日,2月2日……以此類推),病毒激活時,會每隔10秒,打開並關閉光碟機。打開光碟機的次數由當前月份來決定(如1月1日,每激活一次病毒,就會打開並關閉光碟機1次;2月2日,每激活一次病毒,就會打開並關閉光碟機2次)。

6、 會調用mstha.exe

顯示如下圖片,並且鎖定計算機,使用戶無法操作。

7、遍歷進程

如果發現有regedit.exe、taskmgr.exe等進程,就調用ntsd命令結束進程,使用戶無法打開註冊表編輯器,和任務管理器等一些基本的系統工具。

防毒方法:

首先利用工具,結束掉所有wscript.exe以及路徑在C:windowssystemsvchost.exe的進程。
運行”regedit”,打開註冊表編輯器,找到”HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload”,查看其內容所指向的路徑。在命令行下,運行del命令刪除腳本檔案。
使用NTFS檔案流相關工具,刪除附加在explorer.exe和smss.exe中的檔案流。
使用檔案關聯修復程式,修復被病毒修改過的檔案關聯。
刪除每個磁碟根目錄下的autorun.inf以及vbs檔案。

相關詞條

熱門詞條

聯絡我們