元旦過后，瑞星公司通過“云安全”系統(tǒng)數(shù)據(jù)分析發(fā)現(xiàn)，近一段時間網(wǎng)上流行的“暴風(fēng)一號”（Worm.Script.VBS.Autorun.be）病毒感染量不斷增長，1月1日至3日期間，共感染5萬臺電腦，而且增長速度還在不斷加速。據(jù)介紹，感染該病毒后電腦會出現(xiàn)速度異常緩慢、所有正常文件夾被隱藏、光驅(qū)被定時彈出。

并用骷髏圖片鎖定用戶電腦屏幕等現(xiàn)象。如有用戶被感染可以使用瑞星全功能安全軟件徹底查殺該病毒，以恢復(fù)電腦系統(tǒng)正常運(yùn)行。

“暴風(fēng)一號”病毒不同于目前主流病毒，不進(jìn)行盜號、下載木馬等常見病毒行為。瑞星反病毒工程師介紹其“七宗罪”：第一，該病毒會自動進(jìn)行變形、加密、解密，使得每次運(yùn)行后，病毒文件內(nèi)容徹底變化，以躲避殺毒軟件查殺。第二，通過Autorun的方式，使得用戶打開磁盤時自動運(yùn)行病毒，并修改正常的系統(tǒng)文件。第三，將病毒文件附加在正常系統(tǒng)文件中、修改注冊表，以實(shí)現(xiàn)自身隱藏。第四，隱藏電腦中所有文件夾，并生成一個快捷方式，當(dāng)用戶打開時，會誤認(rèn)為是正常的，但病毒已經(jīng)被運(yùn)行。第五，每當(dāng)系統(tǒng)日期中的月和日相等時（如2月2日），光驅(qū)被病毒自動彈出。第六，病毒會用下圖中的骷髏圖片鎖定電腦屏幕，使用戶無法操作。最后使得用戶感染病毒后電腦運(yùn)行速度變得非常緩慢，無法正常操作。

（病毒運(yùn)行后，會以骷髏圖片鎖定電腦屏幕）

根據(jù)瑞星“云安全”系統(tǒng)數(shù)據(jù)統(tǒng)計(jì)表明，暴風(fēng)一號病毒早在去年10月份發(fā)現(xiàn)，第一個病毒變種是Worm.Script.VBS.Autorun.bc，但一直以來沒有大規(guī)模爆發(fā)，兩個月的時間共計(jì)4萬多例用戶中毒。進(jìn)入2010年后，感染量快速增長，3天的時間感染5萬用戶，使其成為現(xiàn)階段增長最快的破壞性病毒。

那么暴風(fēng)一號病毒的真實(shí)面目又是如何的呢？下面，我們就來揭開它的神秘面紗。

病毒描述：

這是一個由VBS腳本編寫，采用加密和自變形手段，并且通過U盤傳播的惡意蠕蟲病毒。病毒行為：

1、 自變形

病毒首先通過執(zhí)行strreverse()函數(shù)，得到病毒的解密函數(shù)

 

解密代碼如下：

 

這段代碼會讀取腳本文件的注釋部分，將其解密之后

 

解密運(yùn)行病毒之后，病毒會重新生成密鑰，將病毒代碼加密之后，再將其自復(fù)制。

所以病毒每運(yùn)行一次之后，其文件內(nèi)容和病毒運(yùn)行之前完全不一樣。

2、 自復(fù)制

病毒會遍歷各個磁盤，并向其根目錄寫入Autorun.inf以及.vbs文件，當(dāng)用戶雙擊打開磁盤時，會觸發(fā)病毒文件，使之運(yùn)行。

病毒會將系統(tǒng)的Wscript.exe復(fù)制到C:\Windows\System\svchost.exe

如果是FAT格式，病毒會將自身復(fù)制到C:\Windows\System32下，文件名為隨機(jī)數(shù)字。

如果是NTFS格式，病毒將會通過NTFS文件流的方式，將其附加到如下文件中。

C:\Windows\explorer.exe

C:\Windows\System32\smss.exe

 

    3、 改注冊表

病毒會修改以下注冊表鍵值，將其鍵值指向病毒文件。當(dāng)用戶運(yùn)行inf,bat,cmd,reg,chm,hlp類型的文件，打開Internet Explorer，或者雙擊我的電腦圖標(biāo)時，會觸發(fā)病毒文件，使之運(yùn)行。

HKLM\SOFTWARE\Classes\inffile\shell\open\Command\ HKLM\SOFTWARE\Classes\batfile\shell\open\Command\ HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\ HKLM\SOFTWARE\Classes\regfile\shell\open\Command\ HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\ HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\ HKLM\SOFTWARE\Classes\Application\iexplore.exe\shell\open\Command\ HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command

病毒還會修改以下注冊表鍵值，用于使文件夾選項(xiàng)中的“顯示隱藏文件”選項(xiàng)失效。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

 病毒會刪除以下鍵值，使快捷方式的圖標(biāo)上疊加的小箭頭消失。

HKCR\lnkfile\IsShortcut

 病毒會修改以下注冊表鍵值，開啟所有磁盤的自動運(yùn)行特性。

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun

 病毒會修改以下鍵值，使病毒可以開機(jī)自啟動

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

 4、 遍歷文件夾

病毒會遞歸遍歷各個盤的文件夾，當(dāng)遍歷到文件夾之后，會將文件夾設(shè)置為“隱藏+系統(tǒng)+只讀”屬性。同時創(chuàng)建一個快捷方式，其目標(biāo)指向vbs腳本，參數(shù)指向被病毒隱藏的文件夾。

標(biāo)簽： 安全 代碼 腳本 數(shù)據(jù)分析

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。