时间:2017-06-01 10:47:24 作者:quers 来源:系统之家 1. 扫描二维码随时看资讯 2. 请使用手机浏览器访问: https://m.xitongzhijia.net/xtjc/20170601/99121.html 手机查看 评论 反馈
大小:4.45 MB类别:病毒防治
暴风一号病毒,因为其特性,又被称之为1KB快捷方式病毒,用户计算机在感染暴风一号病毒之后,就会在分区根目录下出现许多1KB快捷方式,而原来的文件夹则被隐藏了起来,1KB快捷方式病毒(暴风一号)怎么查杀呢?请看下文。
暴风一号( Worm.Script.VBS.Autorun.be )又称 1KB快捷方式病毒。这是一个由 VBS 脚本编写,采用加密和自变形手段,并且通过U盘传播的恶意蠕虫病毒。
一、暴风一号病毒行为:
1、暴风一号自变形
病毒首先通过执行 strreverse()函数,得到病毒的解密函数。解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。
2、暴风一号自复制
病毒会遍历各个磁盘,并向其根目录写入 Autorun.inf 以及 .vbs 文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。
病毒会将系统的 Wscript.exe 复制到 C:\Windows\System\svchost.exe
如果是FAT 格式,病毒会将自身复制到 C:\Windows\System32 下,文件名为随机数字。
如果是NTFS 格式,病毒将会通过 NTFS 文件流的方式,将其附加到如下文件中。
C:\Windows\explorer.exe
C:\Windows\System32\smss.exe
3、暴风一号修改注册表
病毒会修改以下注册表键值,将其键值指向病毒文件。当用户运行 inf、bat、cmd、reg、chm、hlp 类型的文件,打开Internet Explorer ,或者双击我的电脑图标时,会触发病毒文件,使之运行。
HKLM\SOFTWARE\Classes\inffile\shell\open\Command\
HKLM\SOFTWARE\Classes\batfile\shell\open\Command\
HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\
HKLM\SOFTWARE\Classes\regfile\shell\open\Command\
HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\
HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\
HKLM\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\Command\
HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command\
病毒还会修改以下注册表键值,用于使文件夹选项中的“显示隐藏文件”选项失效。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
病毒会删除以下键值,使快捷方式的图标上叠加的小箭头消失
HKCR\lnkfile\IsShortcut
病毒会修改以下注册表键值,开启所有磁盘的自动运行特性。
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun
病毒会修改以下键值,使病毒可以开机自启动
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
4、暴风一号遍历文件夹
病毒会递归遍历各个盘的文件夹,当遍历到文件夹之后,会将文件夹设置为“隐藏 + 系统 + 只读”的属性。同时创建一个快捷方式,其目标指向 vbs脚本,参数指向被病毒隐藏的文件夹。
由于病毒修改的注册表会使查看隐藏文件的选项失效,也会屏蔽快捷方式图标的小箭头,所以具有很大的迷惑型,让用户误以为打开的是文件夹。
5、暴风一号关闭弹出光驱
每当系统日期中的月和日相等的时候(比如说 1 月 1 日, 2 月 2 日……以此类推),病毒激活时,会每隔 10 秒,打开并关闭光驱。打开光驱的次数由当前月份来决定(如 1 月 1 日,每激活一次病毒,就会打开并关闭光驱 1 次; 2 月 2 日,每激活一次病毒,就会打开并关闭光驱 2 次)。
6、暴风一号锁定计算机之后变成如下图:
会调用 mshta.exe 显示上述图片,并且锁定计算机,使用户无法操作。
7、暴风一号传播方式:
这种文件夹快捷方式病毒,会先把根目录下所有的文件夹隐藏起来,然后在同一位置上创建同名的文件夹快捷方式,网友不知道,只要双击快捷方式,虽然电脑会打开先前被隐藏的文件夹,但同时也运行了病毒(后缀名为vbs的文件),于是U盘也就中毒了。那么,怎么彻底删除并修复文件呢?
二、1KB快捷方式(暴风一号)怎么查杀?
笔者向大家提供一个解决方案:采用专业的U盘杀毒专家(教程上方有下载连接),解决方法如下:
1、打开U盘杀毒专家,选择需要扫描的对象,然后点击“开始扫描”:
2、U盘杀毒专家将立即开始对你的电脑进行扫描,扫描完毕,U盘杀毒专家就会对文件夹快捷方式病毒进行查杀并显示该病毒及处理结果。选择软件中的“修复系统”,可以选择“清除病毒快捷方式及恢复隐藏文件夹”,单击 “开始修复”即可。
曾经笔者遭遇过暴风一号蠕虫病毒的袭扰,导致损失了很多资料,有幸在PE系统中找到了这些文件,万幸没有多大的伤害。
发表评论
共0条
评论就这些咯,让大家也知道你的独特见解
立即评论以上留言仅代表用户个人观点,不代表系统之家立场