病毒簡介
該病毒全名為暴風一号(Worm.Script.VBS.Autorun.be)這是一個由VBS腳本編寫,采用加密和自變形手段,并且通過U盤傳播的惡意蠕蟲病毒。
該病毒會隐藏電腦中所有文件夾,并生成一個同名的快捷方式,當用戶打開時,會誤認為是正常的,此時病毒已被執行。每當系統日期中的月和日相等時(如2月2日),光驅被病毒自動彈出。病毒會用一個骷髅圖片鎖定電腦屏幕,最後使電腦運行速度變得非常緩慢,無法正常操作。
病毒行為
自變形
病毒首先通過執行strreverse()函數,得到病毒的解密函數。
解密運行病毒之後,病毒會重新生成密鑰,将病毒代碼加密之後,再将其自複制。
所以病毒每運行一次之後,其文件内容和病毒運行之前完全不一樣。
自複制
病毒會遍曆各個磁盤,并向其根目錄寫入Autorun.inf以及.vbs文件,當用戶雙擊打開磁盤時,會觸發病毒文件,使之運行。
病毒會将系統的Wscript.exe複制到C:WindowsSystemsvchost.exe
如果是FAT格式,病毒會将自身複制到C:WindowsSystem32下,文件名為随機數字。
如果是NTFS格式,病毒将會通過NTFS文件流的方式,将其附加到如下文件中。
C:Windowsexplorer.exe
C:WindowsSystem32smss.exe
改注冊表
病毒會修改以下注冊表鍵值,将其鍵值指向病毒文件。當用戶運行inf,bat,cmd,reg,chm,hlp類型的文件,打開InternetExplorer,或者雙擊我的電腦圖标時,會觸發病毒文件,使之運行。
HKLMSOFTWAREClassesinffileshellopenCommand
HKLMSOFTWAREClassesbatfileshellopenCommand
HKLMSOFTWAREClassescmdfileshellopenCommand
HKLMSOFTWAREClassesregfileshellopenCommand
HKLMSOFTWAREClasseschm.fileshellopenCommand
HKLMSOFTWAREClasseshlpfileshellopenCommand
HKLMSOFTWAREClassesApplicationsiexplore.exeshellopenCommand
HKCRCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand
HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shell
HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shellopenCommand
HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shellexplorecommand
病毒還會修改以下注冊表鍵值,用于使文件夾選項中的“顯示隐藏文件”選項失效。HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValueHKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue
病毒會删除以下鍵值,使快捷方式的圖标上疊加的小箭頭消失
HKCRlnkfileIsShortcut
病毒會修改以下注冊表鍵值,開啟所有磁盤的自動運行特性。
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutorun
病毒會修改以下鍵值,使病毒可以開機自啟動
HKCUSoftwareMicrosoftWindowsNTCurrentVersionWindowsload
遍曆文件夾
病毒會遞歸遍曆各個盤的文件夾,當遍曆到文件夾之後,會将文件夾設置為“隐藏+系統+隻讀”的屬性。同時創建一個快捷方式,其目标指向vbs腳本,參數指向被病毒隐藏的文件夾。
由于病毒修改的注冊表會使查看隐藏文件的選項失效,也會屏蔽快捷方式圖标的小箭頭,所以具有很大的迷惑型,讓用戶誤以為打開的是文件夾。
關閉彈出光驅
每當系統日期中的月和日相等的時候(比如說1月1日,2月2日……以此類推),病毒激活時,會每隔10秒,打開并關閉光驅。打開光驅的次數由當前月份來決定(如1月1日,每激活一次病毒,就會打開并關閉光驅1次;2月2日,每激活一次病毒,就會打開并關閉光驅2次)。
鎖定計算機
會調用mshta.exe顯示如下圖片,并且鎖定計算機,使用戶無法操作。
進程異常
遍曆進程,如果發現有regedit.exe、taskmgr.exe、cmd.exe等進程,就調用ntsd命令結束進程,使用戶無法打開注冊表編輯器,和任務管理器等一些基本的系統工具。
殺毒方法
手殺過程
如果被病毒黑屏,可以按Alt+F4組合鍵解除。
首先把%windir%system32taskmgr.exe複制一份到任意目錄,改名并運行,或者利用工具,結束掉所有wscript.exe以及路徑在C:windowssystemsvchost.exe的進程。最好先用文件粉碎粉碎C:windowssystemsvchost.exe
運行“regedit”,打開注冊表編輯器,找到”HKCUSoftwareMicrosoftWindowsNTCurrentVersionWindowsload”,查看其内容所指向的路徑。在命令行下,運行del命令删除腳本文件。
使用NTFS文件流相關工具,删除附加在explorer.exe和smss.exe中的文件流。
使用文件關聯修複程序,修複被病毒修改過的文件關聯。
修複IE、我的電腦的指向
删除每個磁盤根目錄下的autorun.inf以及vbs文件。
鑒于此病毒創建病毒文件、路徑還有自啟動方式都都相當複雜,建議使用專業殺毒軟件在安全模式下查殺。
用軟件殺毒
暴風一号病毒使用金山系統急救箱和金山U盤專殺。
先使用金山系統急救箱來修複異常,
然後再用金山U盤專殺來殺滅母體和修複被暴風更改隐藏的文件夾
相關資訊
上海計算機病毒防範服務中心預警:一種名為“暴風一号蠕蟲”的計算機病毒下周起将在網上爆發,該病毒将嚴重破壞系統安全,影響計算機用戶正常使用。
專家提醒,電腦用戶應采取以下措施預防該病毒:安裝安全軟件并及時升級,做好“漏洞掃描與修複”,打好補丁,彌補系統漏洞;不浏覽不良網站,不随意下載安裝可疑插件;不接收QQ、MSN、Email等傳來的可疑文件;上網時打開殺毒軟件實時監控功能。
從今年開始,電腦病毒更多以破壞、繞過殺毒軟件的方式頻繁出現,讓很多非專業的殺毒軟件無奈。
如,“暴風一号蠕蟲病毒(Worm.Script.VBS.Au-torun.be)”是通過U盤傳播的惡意蠕蟲病毒。它會隐藏電腦中所有文件夾,并産生一個同名的快捷方式,用戶打開時,會把病毒制造的快捷方式誤認為原有文件夾,此時病毒已被執行。以後,每當系統日期中的月和日相等時(如2月2日),光驅會自動彈出。病毒會用一個骷髅圖片鎖定電腦屏幕,最後使電腦運行速度變得非常緩慢。
