色情終結者

（1）讀取下列註冊表內容，將Username的值賦給GetUserName，否則將其值設為Administrator；

"HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\

{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\Username"

（2）讀取下列註冊表內容賦於GetFSOName，否則將GetUserName的值設為Scripting.FileSystemObject；

HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID\；

（3）讀取%system%目錄下%GetUserName%.ini檔案第三行的數據，如果為Admin則彈出內容為"You Are Admin!!! Your Computer Will Not Be Infected!!! "的訊息框；並提示用戶輸入相應數值進行如下操作： "0:退出； 1:監視系統； 2:傳染檔案, SuperVirus腳本測試!"

2.運行後具體病毒行為：

（1）運行病毒病毒會將自身副本複製到如下系統目錄，並將其屬性設定為系統、隱藏：

%WINNT%\%GetUserName%.vbs；

%system%\%GetUserName%.vbs；

各個分區根目錄的%GetUserName%.vbs；

（2）遍歷磁碟，當磁碟類型為DRIVE_NO_ROOT_DIR，DRIVE_REMOVABLE，DRIVE_FIXED時生成Autorun.inf，目的為使得用戶採用滑鼠雙擊、右鍵打開和右鍵資源管理器打開檔案時，將病毒檔案運行起來；

（3）生成%system32%\%GetUserName%.ini，這是病毒的配置檔案。

（4）感染和破壞過程如下：

遍歷磁碟中擴展名為"hta", "htm" , "html" , "asp", "vbs"的檔案，並將自身插入到這些檔案的頭部，生成有效腳本檔案實現感染。該病毒在感染前會首先判斷系統中的腳本是否已經被感染，該腳本感染後，會將感染標記標記在腳本的指定位置，不重複感染。

（5）修改註冊表：

<1>添加自身的啟動載入項：

"HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Load" 值為%SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1

<2>修改檔案關聯：

"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\", %SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1（值），"REG_EXPAND_SZ"（類型）

"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command\", %SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1（值），"REG_EXPAND_SZ"（類型）

"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command\",

%SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1（值），"REG_EXPAND_SZ"（類型）

"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command\", %SystemRoot%\System32\WScript.exe " %WINNT%\%GetUserName%.vbs " %1（值），"REG_EXPAND_SZ"（類型）

<3>修改瀏覽器顯示資料夾屬性，隱藏檔案：

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\Hidden\SHOWALL\CheckedValue"，0（值）, "REG_DWORD"（類型）

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

\ShowSuperHidden"，0（值）, "REG_DWORD"（類型）

<4>打開系統自動播放功能： "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Policies\Explorer\NoDriveTypeAutoRun"，129（值）, "REG_DWORD"（類型）

（6）病毒具有監視系統功能，當用戶選擇監視系統時，病毒會監視如下的進程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "regedit.exe", "regedit.scr", "regedit.pif", "msconfig.exe", "SREng.exe", "USBAntiVir.exe"，發現後就結束該進程，然後執行感染功能；

（7）病毒將記錄感染腳本的數量，當感染腳本的數量超過200時，會自動彈出訊息框，內容為"您已有超過2000個檔案被感染!不過請放心，此病毒很容易被清除!請聯繫418465***-_- !"；

（8）病毒將感染檔案的信息記錄到%system %目錄下的%GetUserName%.ini中，如感染日期等;

（9）病毒被其設計者劃分為幾個主要個功能模組，這些模組以指定的串作為開頭和結尾的標誌，病毒實現這些模組位置在感染過程中的相互位置變換，以及模組標誌的命名變化。

3．該病毒特點如下：

（1）病毒實現感染過程中的模組位置變換，增加部分防毒軟體公司的處理難度；

（2）病毒有自身的版本，當用戶運行該病毒的更高版本時，其各系統盤的副本會實現替換更新，其Autorun.inf檔案的檔案指向也會隨之變更；

（3）病毒體內本身預留了防毒和系統註冊表恢復的代碼，感染後會提示用戶聯繫其作者索取防毒功能，有明顯的訛詐意圖。

病毒名稱：色情終結者

威脅級別：★★☆☆☆

病毒類型：網頁病毒

病毒長度：33842

影響系統：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為：這是一個感染腳本和網頁檔案的病毒。它運行時會關閉任務管理器、註冊表編輯器、瑞士軍刀註冊表修復工具、360安全衛士等系統進程和安全軟體，將自己擴散到所有磁碟中，感染全部的正常VBS腳本檔案，還會刪除名稱與色情有關的avi, mpg, rm, rmvb格式的視頻檔案。

1. 病毒運行後，產生以下病毒檔案:

%SystemRoot%\%UserName%.vbs

%SystemRoot%\System32\%UserName%.vbs

%SystemRoot%\System32\%UserName%.ini

以上的檔案名稱根據用戶的電腦不同有所區別, 一般為當前的用戶名或Administrator. 下同.

2. 在每個盤的根目錄下生成autorun.inf和%UserName%.vbs. autorun.inf指定當用戶雙擊打開分區或點右鍵

選擇資源管理器時, 運行病毒程式.

3. 病毒運行時, 會關閉打開的任務管理器, 註冊表編輯器, msconfig, 命令行提示符, SREng, 360安全衛士等

軟體.

4. 感染用戶電腦上的所有以vbs為擴展名VBScript腳本檔案和以hta, htm, html, asp為擴展名的網頁檔案.

5. 刪除用戶電腦上以avi, mpg, rm, rmvb為擴展名且檔案名稱中含有特定字元串的視頻檔案.

6. 有時會顯示訊息框, 內容為"您已有超過2000個檔案被感染!不過請放心，此病毒很容易被清除!請聯繫418465***-_- !", .

7. 修改註冊表, 將病毒設定為隨系統啟動.

8. 修改註冊表, 使用戶無法通過設定資料夾選項顯示隱藏檔案, 也無法顯示受保護的作業系統檔案.

9. 將病毒檔案設定為txt, hlp, chm, reg等類型檔案的關聯程式, 當用戶雙擊打開這些類型的檔案時, 都會執行

病毒程式.

10. 病毒可以通過隨身碟, 軟碟和windows網路共享傳播.