暴風(fēng)一號(hào)（惡意蠕蟲(chóng)病毒）

暴風(fēng)一號(hào)（惡意蠕蟲(chóng)病毒）

暴風(fēng)一號(hào) （惡意蠕蟲(chóng)病毒） 次瀏覽 | 2022.07.22 09:08:57 更新 來(lái)源 ：互聯(lián)網(wǎng) 精選百科 本文由作者推薦 暴風(fēng)一號(hào)惡意蠕蟲(chóng)病毒

暴風(fēng)一號(hào)（Worm.Script.VBS.Autorun.be）是一種惡意蠕蟲(chóng)病毒，最早出現(xiàn)在2010年1月，其主要傳播媒介為U盤等存貯設(shè)備。主要是由VBS腳本編寫，再通過(guò)添加一些加密以及自變形等手段，來(lái)掩飾及達(dá)到病毒的特性。拖慢計(jì)算機(jī)運(yùn)行速度，最終導(dǎo)致無(wú)法繼續(xù)正常操作。

暴風(fēng)一號(hào)病毒使用金山系統(tǒng)急救箱和金山U盤專殺。專家提醒，電腦用戶應(yīng)采取以下措施預(yù)防該病毒：安裝安全軟件并及時(shí)升級(jí)，做好“漏洞掃描與修復(fù)”，打好補(bǔ)丁，彌補(bǔ)系統(tǒng)漏洞；不瀏覽不良網(wǎng)站，不隨意下載安裝可疑插件；不接收QQ、MSN、Email等傳來(lái)的可疑文件；上網(wǎng)時(shí)打開(kāi)殺毒軟件實(shí)時(shí)監(jiān)控功能。

中文名

Worm.Script.VBS.Autorun.be

外文名

boyfine

軟件名稱

暴風(fēng)一號(hào)

軟件語(yǔ)言

中文

軟件類型

惡意蠕蟲(chóng)病毒

腳本手段

加密和自變形手段

病毒簡(jiǎn)介

該病毒全名為暴風(fēng)一號(hào)（Worm.Script.VBS.Autorun.be）這是一個(gè)由VBS腳本編寫，采用加密和自變形手段，并且通過(guò)U盤傳播的惡意蠕蟲(chóng)病毒。

該病毒會(huì)隱藏電腦中所有文件夾，并生成一個(gè)同名的快捷方式，當(dāng)用戶打開(kāi)時(shí)，會(huì)誤認(rèn)為是正常的，此時(shí)病毒已被執(zhí)行。[1]每當(dāng)系統(tǒng)日期中的月和日相等時(shí)（如2月2日），光驅(qū)被病毒自動(dòng)彈出。病毒會(huì)用一個(gè)骷髏圖片鎖定電腦屏幕，最后使電腦運(yùn)行速度變得非常緩慢，無(wú)法正常操作。

病毒行為自變形

病毒首先通過(guò)執(zhí)行strrever()函數(shù)，得到病毒的解密函數(shù)。

解密運(yùn)行病毒之后，病毒會(huì)重新生成密鑰，將病毒代碼加密之后，再將其自復(fù)制。

所以病毒每運(yùn)行一次之后，其文件內(nèi)容和病毒運(yùn)行之前完全不一樣。

自復(fù)制

病毒會(huì)遍歷各個(gè)磁盤，并向其根目錄寫入Autorun.inf以及.vbs文件，當(dāng)用戶雙擊打開(kāi)磁盤時(shí)，會(huì)觸發(fā)病毒文件，使之運(yùn)行。

病毒會(huì)將系統(tǒng)的Wscript.exe復(fù)制到C:WindowsSystemsvchost.exe

如果是FAT格式，病毒會(huì)將自身復(fù)制到C:WindowsSystem32下，文件名為隨機(jī)數(shù)字。

如果是NTFS格式，病毒將會(huì)通過(guò)NTFS文件流的方式，將其附加到如下文件中。

C:Windowxplorer.exe

C:WindowsSystem32smss.exe

改注冊(cè)表

病毒會(huì)修改以下注冊(cè)表鍵值，將其鍵值指向病毒文件。當(dāng)用戶運(yùn)行inf,bat,cmd,reg,chm,hlp類型的文件，打開(kāi)InternetExplorer，或者雙擊我的電腦圖標(biāo)時(shí)，會(huì)觸發(fā)病毒文件，使之運(yùn)行。

HKLMSOFTWAREClassinffileshellopenCommand

HKLMSOFTWAREClassatfileshellopenCommand

HKLMSOFTWAREClasscmdfileshellopenCommand

HKLMSOFTWAREClasgfileshellopenCommand

HKLMSOFTWAREClasschm.fileshellopenCommand

HKLMSOFTWAREClasshlpfileshellopenCommand

HKLMSOFTWAREClassApplicationsiexplore.exeshellopenCommand

HKCRCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand

HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shell

HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shellopenCommand

HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shellexplorecommand

病毒還會(huì)修改以下注冊(cè)表鍵值，用于使文件夾選項(xiàng)中的“顯示隱藏文件”選項(xiàng)失效。HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValueHKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue

病毒會(huì)刪除以下鍵值，使快捷方式的圖標(biāo)上疊加的小箭頭消失

HKCRlnkfileIsShortcut

病毒會(huì)修改以下注冊(cè)表鍵值，開(kāi)啟所有磁盤的自動(dòng)運(yùn)行特性。

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutorun

病毒會(huì)修改以下鍵值，使病毒可以開(kāi)機(jī)自啟動(dòng)

HKCUSoftwareMicrosoftWindowsNTCurrentVersionWindowsload

遍歷文件夾

病毒會(huì)遞歸遍歷各個(gè)盤的文件夾，當(dāng)遍歷到文件夾之后，會(huì)將文件夾設(shè)置為“隱藏+系統(tǒng)+只讀”的屬性。同時(shí)創(chuàng)建一個(gè)快捷方式，其目標(biāo)指向vbs腳本，參數(shù)指向被病毒隱藏的文件夾。

由于病毒修改的注冊(cè)表會(huì)使查看隱藏文件的選項(xiàng)失效，也會(huì)屏蔽快捷方式圖標(biāo)的小箭頭，所以具有很大的迷惑型，讓用戶誤以為打開(kāi)的是文件夾。

關(guān)閉彈出光驅(qū)

每當(dāng)系統(tǒng)日期中的月和日相等的時(shí)候（比如說(shuō)1月1日，2月2日……以此類推），病毒激活時(shí)，會(huì)每隔10秒，打開(kāi)并關(guān)閉光驅(qū)。打開(kāi)光驅(qū)的次數(shù)由當(dāng)前月份來(lái)決定（如1月1日，每激活一次病毒，就會(huì)打開(kāi)并關(guān)閉光驅(qū)1次；2月2日，每激活一次病毒，就會(huì)打開(kāi)并關(guān)閉光驅(qū)2次）。

鎖定計(jì)算機(jī)

會(huì)調(diào)用mshta.exe顯示如下圖片，并且鎖定計(jì)算機(jī)，使用戶無(wú)法操作。

進(jìn)程異常

遍歷進(jìn)程，如果發(fā)現(xiàn)有regedit.exe、taskmgr.exe、cmd.exe等進(jìn)程，就調(diào)用ntsd命令結(jié)束進(jìn)程，使用戶無(wú)法打開(kāi)注冊(cè)表編輯器，和任務(wù)管理器等一些基本的系統(tǒng)工具。

殺毒方法手殺過(guò)程

如果被病毒黑屏，可以按Alt+F4組合鍵解除。

首先把%windir%system32 askmgr.exe復(fù)制一份到任意目錄，改名并運(yùn)行，或者利用工具，結(jié)束掉所有wscript.exe以及路徑在C:windowssystemsvchost.exe的進(jìn)程。最好先用文件粉碎粉碎C:windowssystemsvchost.exe

運(yùn)行“regedit”，打開(kāi)注冊(cè)表編輯器，找到”HKCUSoftwareMicrosoftWindowsNTCurrentVersionWindowsload”，查看其內(nèi)容所指向的路徑。在命令行下，運(yùn)行del命令刪除腳本文件。

使用NTFS文件流相關(guān)工具，刪除附加在explorer.exe和smss.exe中的文件流。

使用文件關(guān)聯(lián)修復(fù)程序，修復(fù)被病毒修改過(guò)的文件關(guān)聯(lián)。

修復(fù)IE、我的電腦的指向

刪除每個(gè)磁盤根目錄下的autorun.inf以及vbs文件。

鑒于此病毒創(chuàng)建病毒文件、路徑還有自啟動(dòng)方式都都相當(dāng)復(fù)雜，建議使用專業(yè)殺毒軟件在安全模式下查殺。

用軟件殺毒

暴風(fēng)一號(hào)病毒使用金山系統(tǒng)急救箱和金山U盤專殺。

先使用金山系統(tǒng)急救箱來(lái)修復(fù)異常，

然后再用金山U盤專殺來(lái)殺滅母體和修復(fù)被暴風(fēng)更改隱藏的文件夾

相關(guān)資訊

上海計(jì)算機(jī)病毒防范服務(wù)中心預(yù)警：一種名為“暴風(fēng)一號(hào)蠕蟲(chóng)”的計(jì)算機(jī)病毒下周起將在網(wǎng)上爆發(fā)，該病毒將嚴(yán)重破壞系統(tǒng)安全，影響計(jì)算機(jī)用戶正常使用。

專家提醒，電腦用戶應(yīng)采取以下措施預(yù)防該病毒：安裝安全軟件并及時(shí)升級(jí)，做好“漏洞掃描與修復(fù)”，打好補(bǔ)丁，彌補(bǔ)系統(tǒng)漏洞；不瀏覽不良網(wǎng)站，不隨意下載安裝可疑插件；不接收QQ、MSN、Email等傳來(lái)的可疑文件；上網(wǎng)時(shí)打開(kāi)殺毒軟件實(shí)時(shí)監(jiān)控功能。

從今年開(kāi)始，電腦病毒更多以破壞、繞過(guò)殺毒軟件的方式頻繁出現(xiàn)，讓很多非專業(yè)的殺毒軟件無(wú)奈。

如，“暴風(fēng)一號(hào)蠕蟲(chóng)病毒（Worm.Script.VBS.Au－torun.be）”是通過(guò)U盤傳播的惡意蠕蟲(chóng)病毒。它會(huì)隱藏電腦中所有文件夾，并產(chǎn)生一個(gè)同名的快捷方式，用戶打開(kāi)時(shí)，會(huì)把病毒制造的快捷方式誤認(rèn)為原有文件夾，此時(shí)病毒已被執(zhí)行。以后，每當(dāng)系統(tǒng)日期中的月和日相等時(shí)（如2月2日），光驅(qū)會(huì)自動(dòng)彈出。病毒會(huì)用一個(gè)骷髏圖片鎖定電腦屏幕，最后使電腦運(yùn)行速度變得非常緩慢。

參考資料