(病毒運(yùn)行后,會(huì)以骷髏圖片鎖定電腦屏幕)
根據(jù)瑞星“云安全”系統(tǒng)數(shù)據(jù)統(tǒng)計(jì)表明,暴風(fēng)一號(hào)病毒早在去年10月份發(fā)現(xiàn),第一個(gè)病毒變種是Worm.Script.VBS.Autorun.bc,但一直以來(lái)沒(méi)有大規(guī)模爆發(fā),兩個(gè)月的時(shí)間共計(jì)4萬(wàn)多例用戶中毒。進(jìn)入2010年后,感染量快速增長(zhǎng),3天的時(shí)間感染5萬(wàn)用戶,使其成為現(xiàn)階段增長(zhǎng) 快的破壞性病毒。
附:“暴風(fēng)一號(hào)”(Worm.Script.VBS.Autorun.be)病毒分析報(bào)告
Worm.Script.VBS.Autorun.be(暴風(fēng)一號(hào)病毒)
病毒描述:
這是一個(gè)由VBS腳本編寫,采用加密和自變形手段,并且通過(guò)U盤傳播的惡意蠕蟲病毒。
病毒行為:
1、 自變形
病毒首先通過(guò)執(zhí)行strreverse()函數(shù),得到病毒的解密函數(shù)
解密代碼如下:
這段代碼會(huì)讀取腳本文件的注釋部分,將其解密之后
解密運(yùn)行病毒之后,病毒會(huì)重新生成密鑰,將病毒代碼加密之后,再將其自復(fù)制。
所以病毒每運(yùn)行一次之后,其文件內(nèi)容和病毒運(yùn)行之前完全不一樣。
2、 自復(fù)制
病毒會(huì)遍歷各個(gè)磁盤,并向其根目錄寫入Autorun.inf以及.vbs文件,當(dāng)用戶雙擊打開(kāi)磁盤時(shí),會(huì)觸發(fā)病毒文件,使之運(yùn)行。
病毒會(huì)將系統(tǒng)的Wscript.exe復(fù)制到C:\Windows\System\svchost.exe
如果是FAT格式,病毒會(huì)將自身復(fù)制到C:\Windows\System32下,文件名為隨機(jī)數(shù)字。
如果是NTFS格式,病毒將會(huì)通過(guò)NTFS文件流的方式,將其附加到如下文件中。
C:\Windows\explorer.exe
C:\Windows\System32\smss.exe
3、 改注冊(cè)表
病毒會(huì)修改以下注冊(cè)表鍵值,將其鍵值指向病毒文件。當(dāng)用戶運(yùn)行inf,bat,cmd,reg,chm,hlp類型的文件,打開(kāi)Internet Explorer,或者雙擊我的電腦圖標(biāo)時(shí),會(huì)觸發(fā)病毒文件,使之運(yùn)行。
病毒還會(huì)修改以下注冊(cè)表鍵值,用于使文件夾選項(xiàng)中的“顯示隱藏文件”選項(xiàng)失效。
病毒會(huì)刪除以下鍵值,使快捷方式的圖標(biāo)上疊加的小箭頭 消失。
病毒會(huì)修改以下注冊(cè)表鍵值,開(kāi)啟所有磁盤的自動(dòng)運(yùn)行特性。
病毒會(huì)修改以下鍵值,使病毒可以開(kāi)機(jī)自啟動(dòng)
4、 遍歷文件夾
凡轉(zhuǎn)載須說(shuō)明出處!本站個(gè)別文章來(lái)源于網(wǎng)絡(luò),僅供廣大師生及電子愛(ài)好者參考學(xué)習(xí)
之用。您若對(duì)““暴風(fēng)一號(hào)”成 新非主流病毒 感染量激增至10萬(wàn)”這篇文章有何看法,請(qǐng)您留言,我們會(huì)及時(shí)進(jìn)行調(diào)整。
湖南陽(yáng)光電子學(xué)校歡迎全國(guó)各地學(xué)子!
中查找““暴風(fēng)一號(hào)”成 新非主流病毒 感染量激增至10萬(wàn)”更多相關(guān)內(nèi)容
中查找““暴風(fēng)一號(hào)”成 新非主流病毒 感染量激增至10萬(wàn)”更多相關(guān)內(nèi)容
報(bào)名電話:13308461099 
來(lái)校路線圖 行車路線圖