• 网站地图|收藏本站|数学学习|学习方法|电脑学习|教学大全|生活常识|句子大全|管理资料下载|范文大全
  • “暴风一号”病毒分析及查杀技巧

    时间:10-14 10:27:50来源:http://www.laixuea.com 电脑安全阅读:8937

    概要:日前,瑞星公司通过“云安全”系统数据分析发现,近一段时间网上流行的“暴风一号”(Worm.Script.VBS.Autorun.be)病毒感染量不断增长,1月1日至3日期间,共感染5万台电脑,而且增长速度还在不断加速。据介绍,感染该病毒后电脑会出现速度异常缓慢、所有正常文件夹被隐藏、光驱被定时弹出、并用骷髅图片锁定用户电脑屏幕等现象。病毒描述:这是一个由VBS脚本编写,采用加密和自变形手段,并且通过U盘传播的恶意蠕虫病毒。病毒行为分析:1、自变形病毒首先通过执行strreverse()函数,得到病毒的解密函数解密代码如下:这段代码会读取脚本文件的注释部分,将其解密之后解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。2、自复制病毒会遍历各个磁盘,并向其根目录写入Autorun.inf以及.vbs文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。病毒会将系统的Wscript.exe复制到C:\Windows\System\s

    “暴风一号”病毒分析及查杀技巧,标签:电脑安全知识,个人电脑安全,http://www.laixuea.com
    日前,瑞星公司通过“云安全”系统数据分析发现,近一段时间网上流行的“暴风一号”(Worm.Script.VBS.Autorun.be)病毒感染量不断增长,1月1日至3日期间,共感染5万台电脑,而且增长速度还在不断加速。据介绍,感染该病毒后电脑会出现速度异常缓慢、所有正常文件夹被隐藏、光驱被定时弹出、并用骷髅图片锁定用户电脑屏幕等现象。

      病毒描述:

      这是一个由VBS脚本编写,采用加密和自变形手段,并且通过U盘传播的恶意蠕虫病毒。

      病毒行为分析:

      1、自变形

      病毒首先通过执行strreverse()函数,得到病毒的解密函数

      解密代码如下:

      这段代码会读取脚本文件的注释部分,将其解密之后

      解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。

      所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。

      2、自复制

      病毒会遍历各个磁盘,并向其根目录写入Autorun.inf以及.vbs文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。

      病毒会将系统的Wscript.exe复制到C:\Windows\System\svchost.exe

      如果是FAT格式,病毒会将自身复制到C:\Windows\System32下,文件名为随机数字。

      如果是NTFS格式,病毒将会通过NTFS文件流的方式,将其附加到如下文件中。

      C:\Windows\explorer.exe

      C:\Windows\System32\smss.exe

      3、改注册表

      病毒会修改以下注册表键值,将其键值指向病毒文件。当用户运行inf,bat,cmd,reg,chm,hlp类型的文件,打开Internet Explorer,或者双击我的电脑图标时,会触发病毒文件,使之运行。

      HKLM\SOFTWARE\Classes\inffile\shell\open\Command\

      HKLM\SOFTWARE\Classes\batfile\shell\open\Command\

      HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\

      HKLM\SOFTWARE\Classes\regfile\shell\open\Command\

      HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\

      HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\

      HKLM\SOFTWARE\Classes\Application\iexplore.exe\shell\open\Command\

      HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

      HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command

      病毒还会修改以下注册表键值,用于使文件夹选项中的“显示隐藏文件”选项失效。

      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue

      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

      病毒会删除以下键值,使快捷方式的图标上叠加的小箭头消失。

      HKCR\lnkfile\IsShortcut

      病毒会修改以下注册表键值,开启所有磁盘的自动运行特性。

      HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun

      病毒会修改以下键值,使病毒可以开机自启动

      HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

    [1] [2]  下一页


    Tag:电脑安全电脑安全知识,个人电脑安全电脑学习 - 电脑安全