恶意蠕虫病毒“暴风一号”病毒区分

随着网络的普及，我们的生活越来越方便，但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑，更要注意上网安全常识，不然病毒会对我们造成严重的威胁。

　　这是一个由VBS脚本编写，采用加密和自变形手段，并且通过U盘传播的恶意蠕虫病毒。

　　病毒行为：

　　1、自变形

　　病毒首先通过执行strreverse()函数，得到病毒的解密函数

　　

　　解密代码如下：

　　

　　这段代码会读取脚本文件的注释部分，将其解密之后

　　

　　解密运行病毒之后，病毒会重新生成密钥，将病毒代码加密之后，再将其自复制。

　　所以病毒每运行一次之后，其文件内容和病毒运行之前完全不一样。

　　2、自复制

　　病毒会遍历各个磁盘，并向其根目录写入Autorun.inf以及.vbs文件，当用户双击打开磁盘时，会触发病毒文件，使之运行。

　　病毒会将系统的Wscript.exe复制到C:\Windows\System\svchost.exe

　　如果是FAT格式，病毒会将自身复制到C:\Windows\System32下，文件名为随机数字。

　　如果是NTFS格式，病毒将会通过NTFS文件流的方式，将其附加到如下文件中。

　　C:\Windows\explorer.exe

　　C:\Windows\System32\smss.exe

　　

　　3、改注册表

　　病毒会修改以下注册表键值，将其键值指向病毒文件。当用户运行inf,bat,cmd,reg,chm,hlp类型的文件，打开Internet Explorer，或者双击我的电脑图标时，会触发病毒文件，使之运行。

　　HKLM\SOFTWARE\Classes\inffile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\batfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\regfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\

　　HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\Application\iexplore.exe\shell\open\Command\

　　HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

　　HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command

　　病毒还会修改以下注册表键值，用于使文件夹选项中的“显示隐藏文件”选项失效。

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

　　病毒会删除以下键值，使快捷方式的图标上叠加的小箭头消失。

　　HKCR\lnkfile\IsShortcut

　　病毒会修改以下注册表键值，开启所有磁盘的自动运行特性。

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun

　　病毒会修改以下键值，使病毒可以开机自启动

　　HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

　　4、遍历文件夹

　　病毒会递归遍历各个盘的文件夹，当遍历到文件夹之后，会将文件夹设置为“隐藏+系统+只读”属性。同时创建一个快捷方式，其目标指向vbs脚本，参数指向被病毒隐藏的文件夹。

　　由于病毒修改的注册表会使查看隐藏文件的选项失效，也会屏蔽快捷方式图标的小箭头，所以具有很大的迷惑型，让用户误以为打开的是文件夹。

　　5、关闭弹出光驱

　　每当系统日期中的月和日相等的时候（比如说1月1日，2月2日……以此类推），病毒激活时，会每隔10秒，打开并关闭光驱。打开光驱的次数由当前月份来决定（如1月1日，每激活一次病毒，就会打开并关闭光驱1次；2月2日，每激活一次病毒，就会打开并关闭光驱2次）。

　　6、会调用mstha.exe显示如下图片，并且锁定计算机，使用户无法操作。

　　

　　7、遍历进程，如果发现有regedit.exe、taskmgr.exe等进程，就调用ntsd命令结束进程，使用户无法打开注册表编辑器，和任务管理器等一些基本的系统工具。

　　杀毒方法：

　　首先利用工具，结束掉所有wscript.exe以及路径在C:\windows\system\svchost.exe的进程。

　　运行”regedit”，打开注册表编辑器，找到”HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load”，查看其内容所指向的路径。在命令行下，运行del命令删除脚本文件。

　　使用NTFS文件流相关工具，删除附加在explorer.exe和smss.exe中的文件流。

　　使用文件关联修复程序，修复被病毒修改过的文件关联。

　　删除每个磁盘根目录下的autorun.inf以及vbs文件。

　　鉴于此病毒创建病毒文件、路径还有自启动方式都都相当复杂，建议使用瑞星杀毒软件自动查杀。

上面是电脑上网安全的一些基础常识，学习了安全知识，几乎可以让你免费电脑中毒的烦扰。

关键词：恶意蠕虫病毒“暴风一号”病毒区分

争怎路由网：是一个主要分享无线路由器安装设置经验的网站，汇总WiFi常见问题的解决方法。争怎路由网换路由器新买无法上网管理页面信号腾达路由器网站首页不能上网路由器密码 WiFi设置路由器设置 TP-Link 腾达路由器软件教程游戏教程系统下载您当前所在位置：下载首页 -> 杀毒教程
恶意蠕虫病毒“暴风一号”病毒区分时间：2024/5/23作者：未知来源：争怎路由网人气：随着网络的普及，我们的生活越来越方便，但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑，更要注意上网安全常识，不然病毒会对我们造成严重的威胁。　　这是一个由VBS脚本编写，采用加密和自变形手段，并且通过U盘传播的恶意蠕虫病毒。　　病毒行为：　　1、自变形　　病毒首先通过执行strreverse()函数，得到病毒的解密函数　　　　解密代码如下：　　　　这段代码会读取脚本文件的注释部分，将其解密之后　　　　解密运行病毒之后，病毒会重新生成密钥，将病毒代码加密之后，再将其自复制。　　所以病毒每运行一次之后，其文件内容和病毒运行之前完全不一样。　　2、自复制　　病毒会遍历各个磁盘，并向其根目录写入Autorun.inf以及.vbs文件，当用户双击打开磁盘时，会触发病毒文件，使之运行。　　病毒会将系统的Wscript.exe复制到C:\Windows\System\svchost.exe 　　如果是FAT格式，病毒会将自身复制到C:\Windows\System32下，文件名为随机数字。　　如果是NTFS格式，病毒将会通过NTFS文件流的方式，将其附加到如下文件中。　　C:\Windows\explorer.exe 　　C:\Windows\System32\smss.exe 　　　　　　3、改注册表　　病毒会修改以下注册表键值，将其键值指向病毒文件。当用户运行inf,bat,cmd,reg,chm,hlp类型的文件，打开Internet Explorer，或者双击我的电脑图标时，会触发病毒文件，使之运行。　　HKLM\SOFTWARE\Classes\inffile\shell\open\Command\ 　　HKLM\SOFTWARE\Classes\batfile\shell\open\Command\ 　　HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\ 　　HKLM\SOFTWARE\Classes\regfile\shell\open\Command\ 　　HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\ 　　HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\ 　　HKLM\SOFTWARE\Classes\Application\iexplore.exe\shell\open\Command\ 　　HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 　　HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command 　　病毒还会修改以下注册表键值，用于使文件夹选项中的“显示隐藏文件”选项失效。　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue 　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 　　病毒会删除以下键值，使快捷方式的图标上叠加的小箭头消失。　　HKCR\lnkfile\IsShortcut 　　病毒会修改以下注册表键值，开启所有磁盘的自动运行特性。　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun 　　病毒会修改以下键值，使病毒可以开机自启动　　HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load 　　4、遍历文件夹　　病毒会递归遍历各个盘的文件夹，当遍历到文件夹之后，会将文件夹设置为“隐藏+系统+只读”属性。同时创建一个快捷方式，其目标指向vbs脚本，参数指向被病毒隐藏的文件夹。　　由于病毒修改的注册表会使查看隐藏文件的选项失效，也会屏蔽快捷方式图标的小箭头，所以具有很大的迷惑型，让用户误以为打开的是文件夹。　　5、关闭弹出光驱　　每当系统日期中的月和日相等的时候（比如说1月1日，2月2日……以此类推），病毒激活时，会每隔10秒，打开并关闭光驱。打开光驱的次数由当前月份来决定（如1月1日，每激活一次病毒，就会打开并关闭光驱1次；2月2日，每激活一次病毒，就会打开并关闭光驱2次）。　　6、会调用mstha.exe显示如下图片，并且锁定计算机，使用户无法操作。　　　　7、遍历进程，如果发现有regedit.exe、taskmgr.exe等进程，就调用ntsd命令结束进程，使用户无法打开注册表编辑器，和任务管理器等一些基本的系统工具。　　杀毒方法：　　首先利用工具，结束掉所有wscript.exe以及路径在C:\windows\system\svchost.exe的进程。　　运行”regedit”，打开注册表编辑器，找到”HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load”，查看其内容所指向的路径。在命令行下，运行del命令删除脚本文件。　　使用NTFS文件流相关工具，删除附加在explorer.exe和smss.exe中的文件流。　　使用文件关联修复程序，修复被病毒修改过的文件关联。　　删除每个磁盘根目录下的autorun.inf以及vbs文件。　　鉴于此病毒创建病毒文件、路径还有自启动方式都都相当复杂，建议使用瑞星杀毒软件自动查杀。上面是电脑上网安全的一些基础常识，学习了安全知识，几乎可以让你免费电脑中毒的烦扰。关键词：恶意蠕虫病毒“暴风一号”病毒区分	*软件教程* 聊天工具办公软件杀毒教程系统工具图形图像电脑学习应用软件网络软件苹果应用多媒体区网站教程其它教程技术开发安卓教程 *人气排行* 1局域网内命令大全 2Windows 0day EternalBlue(永恒之蓝... 32017好用的公共DNS推荐 4腾讯王卡1元1天宽带活动正式开发办理！ 5无线网络连接上但上不了网处理方法 6是怕不给礼金？伴娘太敬业胸挂二维码 7华平终端端口关闭方法设置说明 8WannaCry蠕虫勒索病毒用户处置方法 9新版Windows 10不惧勒索病毒 104川一企业攻克勒索软件？公司称并未破解病毒密码，而是用别的... *推荐资讯* 1腾达 W302R 无线路由器WAN口速率更改方法路由器 2JS的组合继承是什么？js组合继承的介绍 3TP-Link TL-ER7520G 无线路由器向多条AD... 4PS如何设置等比例缩放图片 5PHP如何将不是UTF8的字符过滤掉（代码） 6QQ群如何创建桌面快捷方式? 7qq为什么安装不了？ 8微信小程序页面间跳转如何监听事件？ 9组建小型办公网络中路由器选择方法 10聚美直播如何开通聚美直播开通方法介绍
Copyright © 2012-2018 争怎路由网(http://www.zhengzen.com) .All Rights Reserved 网站地图友情链接免责声明：本站资源均来自互联网收集如有侵犯到您利益的地方请及时联系管理删除，敬请见谅! QQ:1006262270 邮箱:kfyvi376850063@126.com 手机版