一号病毒的分析
病毒描述:这是一个由VBS脚本编写的恶意蠕虫病毒,加密和自我变形,并通过U盘传播。
病毒行为:
1,自变形
该病毒首先得到病毒的解密功能通过执行StrReverse()函数。
U3000 U3000
解密代码如下所示:
U3000 U3000
这个代码读取脚本文件的注释和解密。
U3000 U3000
解密后的病毒,病毒再生的关键,加密病毒代码,然后复制它。
所以每次病毒运行后,病毒的含量与病毒在运行前完全不同。
2。自我复制
病毒会通过不同的磁盘写autorun.inf和.vbs文件到根目录。当用户双击并打开磁盘时,它们将触发运行的病毒文件。
病毒会复制系统的wscript.exe C: Windows 系统 Svchost.exe
如果是FAT格式,病毒将自身拷贝到C: Windows System32,和文件名为随机数。
如果是NTFS格式,病毒将通过NTFS文件流附加到下面的文件中。
C: Windows explorer.exe
C: Windows System32 smss.exe
U3000 U3000
U3000 U3000
三.更改登记表格
病毒修改以下注册表键值,点其核心价值的病毒文件,当用户运行INF,bat,cmd,REG、CHM、HLP文件,打开Internet Explorer,或双击我的电脑图标,它会触发病毒文件运行。
HKLM 软件类 inffile 壳休憩命令
HKLM 软件类 batfile 壳休憩命令
HKLM 软件类 cmdfile 壳休憩命令
HKLM 软件类 reg文件壳休憩命令
HKLM 软件类 CHM文件壳休憩命令
HKLM 软件类 hlpfile 壳休憩命令
HKLM 软件类申请 iexplore exe 壳休憩命令
CLSID PRJ0050 { 871c5380-42a0-1069-a2ea-08002b30309d } 命令openhomepage壳
hkey_classes_root CLSID { 20d04fe0-3aea-1069-a2d8-08002b30309d } 壳休憩命令
该病毒还修改了以下注册表键值,使在文件夹选项中;显示隐藏文件选项无效。
HKLM 软件微软 Windows currentversion 浏览器高级文件夹隐藏 nohidden checkedvalue
HKLM 软件微软 Windows currentversion 浏览器高级文件夹隐藏为 checkedvalue
该病毒移除以下键值来分解叠加在快捷图标上的小箭头。
lnkfile PRJ0050 isshortcut
病毒修改下列注册表键值并打开所有磁盘的自动运行特性。
HKCU 软件微软 Windows currentversion 政策浏览器 nodrivetypeautorun
病毒修改了以下键值,以便病毒可以从开始开始
HKCU 软件微软 Windows currentversion Windows 负载
4。遍历文件夹
该病毒会递归地遍历每个磁盘的文件夹,当遍历文件夹,该文件夹将被设置为隐藏+系统+只读的性能。同时创建一个快捷方式,其目标指向vbs脚本,和参数指向一个文件夹是隐藏的病毒。
由于对病毒注册表的修改,查看隐藏文件的选项无效,它也屏蔽了快捷图标的小箭头,因此有很大的混乱,这使用户误以为文件夹已打开。
5。关闭弹出驱动器
在月和日都是平等的系统日期(例如,1月1日,2月2日,&hellip,&hellip,等等),当病毒被激活时,它会打开和关闭每10秒。CD-ROM驱动器的数量是由当月的决定(例如,在1月1日,每一次病毒被激活时,它会打开和关闭光驱的1倍。在2月2日,每当病毒被激活时,它就会打开并关闭CD-ROM 2次)。
6、将mstha.exe显示下面的图片,并锁定计算机,用户不能操作。
U3000 U3000
7,遍历过程。如果你找到REGEDIT.EXE,taskmgr.exe等过程,叫NTSD命令来完成这一过程,让用户无法打开注册表编辑器,任务管理器和其他系统的基本工具。
杀毒方法:
首先,使用工具来结束所有的wscript.exe在C的路径: Windows 系统 Svchost.exe进程。
运行regedit打开注册表编辑器,找到HKCU 软件微软 Windows currentversion Windows load查看其内容的路径。命令行下运行删除命令删除脚本文件。
使用NTFS文件流相关的工具来删除文件流附加到explorer.exe和smss.exe。
文件关联修复程序用于修复已被病毒修改的文件关联。
删除autorun.inf和VBS脚本在每个磁盘根目录下的文件。
针对这种病毒,病毒文件路径和创建自启动模式相当复杂,建议使用杀毒软件自动查杀。