暴風(fēng)一號(hào)源代碼

此病毒行為 1、自變形 病毒首先通過(guò)執(zhí)行 strreverse() 函數(shù)，得到病毒的解密函數(shù) 解密運(yùn)行病毒之后，病毒會(huì)重新生成密鑰，將病毒代碼加密之后，再將其自復(fù)制。 所以病毒每運(yùn)行一次之后，其文件內(nèi)容和病毒運(yùn)行之前完全不一樣。 2、自復(fù)制 病毒會(huì)遍歷各個(gè)磁盤(pán)，并向其根目錄寫(xiě)入 Autorun.inf 以及 .vbs 文件，當(dāng)用戶雙擊打開(kāi)磁盤(pán)時(shí)，會(huì)觸發(fā)病毒文件，使之運(yùn)行。 病毒會(huì)將系統(tǒng)的 Wscript.exe 復(fù)制到 C:WindowsSystemsvchost.exe 如果是 FAT 格式，病毒會(huì)將自身復(fù)制到 C:WindowsSystem32 下，文件名為隨機(jī)數(shù)字。 如果是 NTFS 格式，病毒將會(huì)通過(guò) NTFS 文件流的方式，將其附加到如下文件中。 C:Windowsexplorer.exe C:WindowsSystem32smss.exe 3、 改注冊(cè)表 病毒會(huì)修改以下注冊(cè)表鍵值，將其鍵值指向病毒文件。當(dāng)用戶運(yùn)行 inf,bat,cmd,reg,chm,hlp 類(lèi)型的文件，打開(kāi) Internet Explorer ，或者雙擊我的電腦圖標(biāo)時(shí)，會(huì)觸發(fā)病毒文件，使之運(yùn)行。 病毒還會(huì)修改以下注冊(cè)表鍵值，用于使文件夾選項(xiàng)中的“顯示隱藏文件”選項(xiàng)失效。HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue 病毒會(huì)刪除以下鍵值，使快捷方式的圖標(biāo)上疊加的小箭頭消失 HKCRlnkfileIsShortcut 病毒會(huì)修改以下注冊(cè)表鍵值，開(kāi)啟所有磁盤(pán)的自動(dòng)運(yùn)行特性。 HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutorun 病毒會(huì)修改以下鍵值，使病毒可以開(kāi)機(jī)自啟動(dòng) HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload 4、 遍歷文件夾 病毒會(huì)遞歸遍歷各個(gè)盤(pán)的文件夾，當(dāng)遍歷到文件夾之后，會(huì)將文件夾設(shè)置為“隱藏 + 系統(tǒng) + 只讀”屬性。同時(shí)創(chuàng)建一個(gè)快捷方式，其目標(biāo)指向 vbs 腳本，參數(shù)指向被病毒隱藏的文件夾。 由于病毒修改的注冊(cè)表會(huì)使查看隱藏文件的選項(xiàng)失效，也會(huì)屏蔽快捷方式圖標(biāo)的小箭頭，所以具有很大的迷惑型，讓用戶誤以為打開(kāi)的是文件夾。 5、 關(guān)閉彈出光驅(qū) 每當(dāng)系統(tǒng)日期中的月和日相等的時(shí)候（比如說(shuō) 1 月 1 日， 2 月 2 日……以此類(lèi)推），病毒激活時(shí)，會(huì)每隔 10 秒，打開(kāi)并關(guān)閉光驅(qū)。打開(kāi)光驅(qū)的次數(shù)由當(dāng)前月份來(lái)決定（如 1 月 1 日，每激活一次病毒，就會(huì)打開(kāi)并關(guān)閉光驅(qū) 1 次； 2 月 2 日，每激活一次病毒，就會(huì)打開(kāi)并關(guān)閉光驅(qū) 2 次）。 6、鎖定計(jì)算機(jī) 會(huì)調(diào)用 mstha.exe 顯示如下圖片，并且鎖定計(jì)算機(jī)，使用戶無(wú)法操作。 7 、進(jìn)程異常 遍歷進(jìn)程，如果發(fā)現(xiàn)有 regedit.exe 、 taskmgr.exe、cmd.exe 等進(jìn)程，就調(diào)用 ntsd 命令結(jié)束進(jìn)程，使用戶無(wú)法打開(kāi)注冊(cè)表編輯器，和任務(wù)管理器等一些基本的系統(tǒng)工具。 編輯本段殺毒方法 首先利用工具，結(jié)束掉所有 wscript.exe 以及路徑在 C:windowssystemsvchost.exe 的進(jìn)程。 運(yùn)行“regedit”，打開(kāi)注冊(cè)表編輯器，找到 ”HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload” ，查看其內(nèi)容所指向的路徑。在命令行下，運(yùn)行 del 命令刪除腳本文件。 使用 NTFS 文件流相關(guān)工具，刪除附加在 explorer.exe 和 smss.exe 中的文件流。 使用文件關(guān)聯(lián)修復(fù)程序，修復(fù)被病毒修改過(guò)的文件關(guān)聯(lián)。 刪除每個(gè)磁盤(pán)根目錄下的 autorun.inf 以及 vbs 文件。 鑒于此病毒創(chuàng)建病毒文件、路徑還有自啟動(dòng)方式都都相當(dāng)復(fù)雜，建議使用瑞星殺毒軟件自動(dòng)查殺。

標(biāo)簽：