(病毒運行后,會以骷髏圖片鎖定電腦屏幕)
根據瑞星“云安全”系統數據統計表明,暴風一號病毒早在去年10月份發現,第一個病毒變種是Worm.Script.VBS.Autorun.bc,但一直以來沒有大規模爆發,兩個月的時間共計4萬多例用戶中毒。進入2010年后,感染量快速增長,3天的時間感染5萬用戶,使其成為現階段增長 快的破壞性病毒。
附:“暴風一號”(Worm.Script.VBS.Autorun.be)病毒分析報告
Worm.Script.VBS.Autorun.be(暴風一號病毒)
病毒描述:
這是一個由VBS腳本編寫,采用加密和自變形手段,并且通過U盤傳播的惡意蠕蟲病毒。
病毒行為:
1、 自變形
病毒首先通過執行strreverse()函數,得到病毒的解密函數
解密代碼如下:
這段代碼會讀取腳本文件的注釋部分,將其解密之后
解密運行病毒之后,病毒會重新生成密鑰,將病毒代碼加密之后,再將其自復制。
所以病毒每運行一次之后,其文件內容和病毒運行之前完全不一樣。
2、 自復制
病毒會遍歷各個磁盤,并向其根目錄寫入Autorun.inf以及.vbs文件,當用戶雙擊打開磁盤時,會觸發病毒文件,使之運行。
病毒會將系統的Wscript.exe復制到C:\Windows\System\svchost.exe
如果是FAT格式,病毒會將自身復制到C:\Windows\System32下,文件名為隨機數字。
如果是NTFS格式,病毒將會通過NTFS文件流的方式,將其附加到如下文件中。
C:\Windows\explorer.exe
C:\Windows\System32\smss.exe
3、 改注冊表
病毒會修改以下注冊表鍵值,將其鍵值指向病毒文件。當用戶運行inf,bat,cmd,reg,chm,hlp類型的文件,打開Internet Explorer,或者雙擊我的電腦圖標時,會觸發病毒文件,使之運行。
病毒還會修改以下注冊表鍵值,用于使文件夾選項中的“顯示隱藏文件”選項失效。
病毒會刪除以下鍵值,使快捷方式的圖標上疊加的小箭頭 消失。
病毒會修改以下注冊表鍵值,開啟所有磁盤的自動運行特性。
病毒會修改以下鍵值,使病毒可以開機自啟動
4、 遍歷文件夾
凡轉載須說明出處!本站個別文章來源于網絡,僅供廣大師生及電子愛好者參考學習
之用。您若對““暴風一號”成 新非主流病毒 感染量激增至10萬”這篇文章有何看法,請您留言,我們會及時進行調整。
湖南陽光電子學校歡迎全國各地學子!
中查找““暴風一號”成 新非主流病毒 感染量激增至10萬”更多相關內容
中查找““暴風一號”成 新非主流病毒 感染量激增至10萬”更多相關內容
報名電話:13308461099 
來校路線圖 行車路線圖