元旦過(guò)后，瑞星公司通過(guò)“云安全”系統(tǒng)數(shù)據(jù)分析發(fā)現(xiàn)，近一段時(shí)間網(wǎng)上流行的“暴風(fēng)一號(hào)”（Worm.Script.VBS.Autorun.be）病毒感染量不斷增長(zhǎng)，1月1日至3日期間，共感染5萬(wàn)臺(tái)電腦，而且增長(zhǎng)速度還在不斷加速。據(jù)介紹，感染該病毒后電腦會(huì)出現(xiàn)速度異常緩慢、所有正常文件夾被隱藏、光驅(qū)被定時(shí)彈出。

并用骷髏圖片鎖定用戶電腦屏幕等現(xiàn)象。如有用戶被感染可以使用瑞星全功能安全軟件徹底查殺該病毒，以恢復(fù)電腦系統(tǒng)正常運(yùn)行。

“暴風(fēng)一號(hào)”病毒不同于目前主流病毒，不進(jìn)行盜號(hào)、下載木馬等常見(jiàn)病毒行為。瑞星反病毒工程師介紹其“七宗罪”：第一，該病毒會(huì)自動(dòng)進(jìn)行變形、加密、解密，使得每次運(yùn)行后，病毒文件內(nèi)容徹底變化，以躲避殺毒軟件查殺。第二，通過(guò)Autorun的方式，使得用戶打開(kāi)磁盤時(shí)自動(dòng)運(yùn)行病毒，并修改正常的系統(tǒng)文件。第三，將病毒文件附加在正常系統(tǒng)文件中、修改注冊(cè)表，以實(shí)現(xiàn)自身隱藏。第四，隱藏電腦中所有文件夾，并生成一個(gè)快捷方式，當(dāng)用戶打開(kāi)時(shí)，會(huì)誤認(rèn)為是正常的，但病毒已經(jīng)被運(yùn)行。第五，每當(dāng)系統(tǒng)日期中的月和日相等時(shí)（如2月2日），光驅(qū)被病毒自動(dòng)彈出。第六，病毒會(huì)用下圖中的骷髏圖片鎖定電腦屏幕，使用戶無(wú)法操作。最后使得用戶感染病毒后電腦運(yùn)行速度變得非常緩慢，無(wú)法正常操作。

（病毒運(yùn)行后，會(huì)以骷髏圖片鎖定電腦屏幕）

根據(jù)瑞星“云安全”系統(tǒng)數(shù)據(jù)統(tǒng)計(jì)表明，暴風(fēng)一號(hào)病毒早在去年10月份發(fā)現(xiàn)，第一個(gè)病毒變種是Worm.Script.VBS.Autorun.bc，但一直以來(lái)沒(méi)有大規(guī)模爆發(fā)，兩個(gè)月的時(shí)間共計(jì)4萬(wàn)多例用戶中毒。進(jìn)入2010年后，感染量快速增長(zhǎng)，3天的時(shí)間感染5萬(wàn)用戶，使其成為現(xiàn)階段增長(zhǎng)最快的破壞性病毒。

那么暴風(fēng)一號(hào)病毒的真實(shí)面目又是如何的呢？下面，我們就來(lái)揭開(kāi)它的神秘面紗。

病毒描述：

這是一個(gè)由VBS腳本編寫，采用加密和自變形手段，并且通過(guò)U盤傳播的惡意蠕蟲(chóng)病毒。病毒行為：

1、 自變形

病毒首先通過(guò)執(zhí)行strreverse()函數(shù)，得到病毒的解密函數(shù)

 

解密代碼如下：

 

這段代碼會(huì)讀取腳本文件的注釋部分，將其解密之后

 

解密運(yùn)行病毒之后，病毒會(huì)重新生成密鑰，將病毒代碼加密之后，再將其自復(fù)制。

所以病毒每運(yùn)行一次之后，其文件內(nèi)容和病毒運(yùn)行之前完全不一樣。

2、 自復(fù)制

病毒會(huì)遍歷各個(gè)磁盤，并向其根目錄寫入Autorun.inf以及.vbs文件，當(dāng)用戶雙擊打開(kāi)磁盤時(shí)，會(huì)觸發(fā)病毒文件，使之運(yùn)行。

病毒會(huì)將系統(tǒng)的Wscript.exe復(fù)制到C:\Windows\System\svchost.exe

如果是FAT格式，病毒會(huì)將自身復(fù)制到C:\Windows\System32下，文件名為隨機(jī)數(shù)字。

如果是NTFS格式，病毒將會(huì)通過(guò)NTFS文件流的方式，將其附加到如下文件中。

C:\Windows\explorer.exe

C:\Windows\System32\smss.exe

 

    3、 改注冊(cè)表

病毒會(huì)修改以下注冊(cè)表鍵值，將其鍵值指向病毒文件。當(dāng)用戶運(yùn)行inf,bat,cmd,reg,chm,hlp類型的文件，打開(kāi)Internet Explorer，或者雙擊我的電腦圖標(biāo)時(shí)，會(huì)觸發(fā)病毒文件，使之運(yùn)行。

HKLM\SOFTWARE\Classes\inffile\shell\open\Command\ HKLM\SOFTWARE\Classes\batfile\shell\open\Command\ HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\ HKLM\SOFTWARE\Classes\regfile\shell\open\Command\ HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\ HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\ HKLM\SOFTWARE\Classes\Application\iexplore.exe\shell\open\Command\ HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command

病毒還會(huì)修改以下注冊(cè)表鍵值，用于使文件夾選項(xiàng)中的“顯示隱藏文件”選項(xiàng)失效。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

 病毒會(huì)刪除以下鍵值，使快捷方式的圖標(biāo)上疊加的小箭頭消失。

HKCR\lnkfile\IsShortcut

 病毒會(huì)修改以下注冊(cè)表鍵值，開(kāi)啟所有磁盤的自動(dòng)運(yùn)行特性。

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun

 病毒會(huì)修改以下鍵值，使病毒可以開(kāi)機(jī)自啟動(dòng)

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

 4、 遍歷文件夾

病毒會(huì)遞歸遍歷各個(gè)盤的文件夾，當(dāng)遍歷到文件夾之后，會(huì)將文件夾設(shè)置為“隱藏+系統(tǒng)+只讀”屬性。同時(shí)創(chuàng)建一個(gè)快捷方式，其目標(biāo)指向vbs腳本，參數(shù)指向被病毒隱藏的文件夾。

標(biāo)簽： 安全 代碼 腳本 數(shù)據(jù)分析

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。