暴風一號:病毒行為,自變形,自複製,改註冊表,遍歷資料夾,關閉彈出光碟機,鎖定計算

“暴風一號”，又名“boyfine”，在Windows Defender中稱為“Worm.Script.VBS.Autorun.be ”這是一個由 VBS 腳本編寫，採用加密和自變形手段，並且通過隨身碟傳播的惡意蠕蟲病毒。病毒行為有自變形、自複製、改註冊表、遍歷資料夾、關閉彈出光碟機、鎖定計算機、進程異常。

基本介紹

軟體名稱：暴風一號
軟體語言：中文
外文名：Worm.Script.VBS.Autorun.be
軟體類型：惡意蠕蟲病毒
腳本手段：加密和自變形手段
英文名稱：boyfine

病毒行為,自變形,自複製,改註冊表,遍歷資料夾,關閉彈出光碟機,鎖定計算機,進程異常,防毒方法,

病毒行為

自變形

病毒首先通過執行 strreverse()函式，得到病毒的解密函式。

解密運行病毒之後，病毒會重新生成密鑰，將病毒代碼加密之後，再將其自複製。

所以病毒每運行一次之後，其檔案內容和病毒運行之前完全不一樣。

自複製

病毒會遍歷各個磁碟，並向其根目錄寫入 Autorun.inf 以及 .vbs 檔案，當用戶雙擊打開磁碟時，會觸發病毒檔案，使之運行。

病毒會將系統的 Wscript.exe 複製到 C:\Windows\System\svchost.exe

如果是FAT 格式，病毒會將自身複製到 C:\Windows\System32 下，檔案名稱為隨機數字。

如果是NTFS 格式，病毒將會通過 NTFS 檔案流的方式，將其附加到如下檔案中。

C:\Windows\explorer.exe

C:\Windows\System32\smss.exe

改註冊表

病毒會修改以下註冊表鍵值，將其鍵值指向病毒檔案。當用戶運行 inf,bat,cmd,reg,chm,hlp 類型的檔案，打開Internet Explorer ，或者雙擊我的電腦圖示時，會觸發病毒檔案，使之運行。

HKLM\SOFTWARE\Classes\inffile\shell\open\Command\

HKLM\SOFTWARE\Classes\batfile\shell\open\Command\

HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\

HKLM\SOFTWARE\Classes\regfile\shell\open\Command\

HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\

HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\

HKLM\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\Command\

HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\

HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command

HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command\

病毒還會修改以下註冊表鍵值，用於使資料夾選項中的“顯示隱藏檔案”選項失效。HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

病毒會刪除以下鍵值，使捷徑的圖示上疊加的小箭頭消失

HKCR\lnkfile\IsShortcut

病毒會修改以下註冊表鍵值，開啟所有磁碟的自動運行特性。

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun

病毒會修改以下鍵值，使病毒可以開機自啟動

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

遍歷資料夾

病毒會遞歸遍歷各個盤的資料夾，當遍歷到資料夾之後，會將資料夾設定為“隱藏 + 系統 + 唯讀”的屬性。同時創建一個捷徑，其目標指向 vbs腳本，參數指向被病毒隱藏的資料夾。

由於病毒修改的註冊表會使查看隱藏檔案的選項失效，也會禁止捷徑圖示的小箭頭，所以具有很大的迷惑型，讓用戶誤以為打開的是資料夾。

關閉彈出光碟機

每當系統日期中的月和日相等的時候（比如說 1 月 1 日， 2 月 2 日……以此類推），病毒激活時，會每隔 10 秒，打開並關閉光碟機。打開光碟機的次數由當前月份來決定（如 1 月 1 日，每激活一次病毒，就會打開並關閉光碟機 1 次； 2 月 2 日，每激活一次病毒，就會打開並關閉光碟機 2 次）。

鎖定計算機

會調用 mshta.exe 顯示如下圖片，並且鎖定計算機，使用戶無法操作。

進程異常

遍歷進程，如果發現有regedit.exe、taskmgr.exe、cmd.exe等進程，就調用 ntsd 命令結束進程，使用戶無法打開註冊表編輯器，和任務管理器等一些基本的系統工具。

防毒方法

如果被病毒黑屏，可以按 Alt+F4 組合鍵解除。

首先把%windir%\system32\taskmgr.exe複製一份到任意目錄，改名並運行，或者利用工具，結束掉所有wscript.exe以及路徑在 C:\windows\system\svchost.exe的進程。最好先用檔案粉碎粉碎 C:\windows\system\svchost.exe

運行“regedit”，打開註冊表編輯器，找到 ”HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load” ，查看其內容所指向的路徑。在命令行下，運行 del 命令刪除腳本檔案。

使用 NTFS 檔案流相關工具，刪除附加在explorer.exe和 smss.exe 中的檔案流。

使用檔案關聯修復程式，修復被病毒修改過的檔案關聯。

修復IE、我的電腦的指向

刪除每個磁碟根目錄下的autorun.inf以及 vbs 檔案。

鑒於此病毒創建病毒檔案、路徑還有自啟動方式都都相當複雜，建議使用專業防毒軟體在安全模式下查殺。

暴風一號