暴風一號源代碼

此病毒行為 1、自變形 病毒首先通過執(zhí)行 strreverse() 函數(shù)，得到病毒的解密函數(shù) 解密運行病毒之后，病毒會重新生成密鑰，將病毒代碼加密之后，再將其自復制。 所以病毒每運行一次之后，其文件內(nèi)容和病毒運行之前完全不一樣。 2、自復制 病毒會遍歷各個磁盤，并向其根目錄寫入 Autorun.inf 以及 .vbs 文件，當用戶雙擊打開磁盤時，會觸發(fā)病毒文件，使之運行。 病毒會將系統(tǒng)的 Wscript.exe 復制到 C:WindowsSystemsvchost.exe 如果是 FAT 格式，病毒會將自身復制到 C:WindowsSystem32 下，文件名為隨機數(shù)字。 如果是 NTFS 格式，病毒將會通過 NTFS 文件流的方式，將其附加到如下文件中。 C:Windowsexplorer.exe C:WindowsSystem32smss.exe 3、 改注冊表 病毒會修改以下注冊表鍵值，將其鍵值指向病毒文件。當用戶運行 inf,bat,cmd,reg,chm,hlp 類型的文件，打開 Internet Explorer ，或者雙擊我的電腦圖標時，會觸發(fā)病毒文件，使之運行。 病毒還會修改以下注冊表鍵值，用于使文件夾選項中的“顯示隱藏文件”選項失效。HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue 病毒會刪除以下鍵值，使快捷方式的圖標上疊加的小箭頭消失 HKCRlnkfileIsShortcut 病毒會修改以下注冊表鍵值，開啟所有磁盤的自動運行特性。 HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutorun 病毒會修改以下鍵值，使病毒可以開機自啟動 HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload 4、 遍歷文件夾 病毒會遞歸遍歷各個盤的文件夾，當遍歷到文件夾之后，會將文件夾設(shè)置為“隱藏 + 系統(tǒng) + 只讀”屬性。同時創(chuàng)建一個快捷方式，其目標指向 vbs 腳本，參數(shù)指向被病毒隱藏的文件夾。 由于病毒修改的注冊表會使查看隱藏文件的選項失效，也會屏蔽快捷方式圖標的小箭頭，所以具有很大的迷惑型，讓用戶誤以為打開的是文件夾。 5、 關(guān)閉彈出光驅(qū) 每當系統(tǒng)日期中的月和日相等的時候（比如說 1 月 1 日， 2 月 2 日……以此類推），病毒激活時，會每隔 10 秒，打開并關(guān)閉光驅(qū)。打開光驅(qū)的次數(shù)由當前月份來決定（如 1 月 1 日，每激活一次病毒，就會打開并關(guān)閉光驅(qū) 1 次； 2 月 2 日，每激活一次病毒，就會打開并關(guān)閉光驅(qū) 2 次）。 6、鎖定計算機 會調(diào)用 mstha.exe 顯示如下圖片，并且鎖定計算機，使用戶無法操作。 7 、進程異常 遍歷進程，如果發(fā)現(xiàn)有 regedit.exe 、 taskmgr.exe、cmd.exe 等進程，就調(diào)用 ntsd 命令結(jié)束進程，使用戶無法打開注冊表編輯器，和任務(wù)管理器等一些基本的系統(tǒng)工具。 編輯本段殺毒方法 首先利用工具，結(jié)束掉所有 wscript.exe 以及路徑在 C:windowssystemsvchost.exe 的進程。 運行“regedit”，打開注冊表編輯器，找到 ”HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload” ，查看其內(nèi)容所指向的路徑。在命令行下，運行 del 命令刪除腳本文件。 使用 NTFS 文件流相關(guān)工具，刪除附加在 explorer.exe 和 smss.exe 中的文件流。 使用文件關(guān)聯(lián)修復程序，修復被病毒修改過的文件關(guān)聯(lián)。 刪除每個磁盤根目錄下的 autorun.inf 以及 vbs 文件。 鑒于此病毒創(chuàng)建病毒文件、路徑還有自啟動方式都都相當復雜，建議使用瑞星殺毒軟件自動查殺。

標簽：