惡意蠕蟲病毒“暴風一號”病毒分析

病毒描述：

　　這是一個由VBS腳本編寫，采用加密和自變形手段，並且通過U盤傳播的惡意蠕蟲病毒。

　　病毒行為：

　　1、自變形

　　病毒首先通過執行strreverse()函數，得到病毒的解密函數

　　

　　解密代碼如下：

　　

　　這段代碼會讀取腳本文件的注釋部分，將其解密之後

　　

　　解密運行病毒之後，病毒會重新生成密鑰，將病毒代碼加密之後，再將其自復制。

　　所以病毒每運行一次之後，其文件內容和病毒運行之前完全不一樣。

　　2、自復制

　　病毒會遍歷各個磁盤，並向其根目錄寫入Autorun.inf以及.vbs文件，當用戶雙擊打開磁盤時，會觸發病毒文件，使之運行。

　　病毒會將系統的Wscript.exe復制到C:\Windows\System\svchost.exe

　　如果是FAT格式，病毒會將自身復制到C:\Windows\System32下，文件名為隨機數字。

　　如果是NTFS格式，病毒將會通過NTFS文件流的方式，將其附加到如下文件中。

　　C:\Windows\explorer.exe

　　C:\Windows\System32\smss.exe

　　

　　

　　3、改注冊表

　　病毒會修改以下注冊表鍵值，將其鍵值指向病毒文件。當用戶運行inf,bat,cmd,reg,chm,hlp類型的文件，打開Internet Explorer，或者雙擊我的電腦圖標時，會觸發病毒文件，使之運行。

　　HKLM\SOFTWARE\Classes\inffile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\batfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\regfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\

　　HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\Application\iexplore.exe\shell\open\Command\

　　HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

　　HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command

　　病毒還會修改以下注冊表鍵值，用於使文件夾選項中的“顯示隱藏文件”選項失效。

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

　　病毒會刪除以下鍵值，使快捷方式的圖標上疊加的小箭頭 消失。

　　HKCR\lnkfile\IsShortcut

　　病毒會修改以下注冊表鍵值，開啟所有磁盤的自動運行特性。

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun

　　病毒會修改以下鍵值，使病毒可以開機自啟動

　　HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

　　4、遍歷文件夾

　　病毒會遞歸遍歷各個盤的文件夾，當遍歷到文件夾之後，會將文件夾設置為“隱藏+系統+只讀”屬性。同時創建一個快捷方式，其目標指向vbs腳本，參數指向被病毒隱藏的文件夾。

　　由於病毒修改的注冊表會使查看隱藏文件的選項失效，也會屏蔽快捷方式圖標的小箭頭，所以具有很大的迷惑型，讓用戶誤以為打開的是文件夾。

　　5、關閉彈出光驅

　　每當系統日期中的月和日相等的時候（比如說1月1日，2月2日……以此類推），病毒激活時，會每隔10秒，打開並關閉光驅。打開光驅的次數由當前月份來決定（如1月1日，每激活一次病毒，就會打開並關閉光驅1次；2月2日，每激活一次病毒，就會打開並關閉光驅2次）。

　　6、會調用mstha.exe顯示如下圖片，並且鎖定計算機，使用戶無法操作。

　　

　　7、遍歷進程，如果發現有regedit.exe、taskmgr.exe等進程，就調用ntsd命令結束進程，使用戶無法打開注冊表編輯器，和任務管理器等一些基本的系統工具。

　　殺毒方法：

　　首先利用工具，結束掉所有wscript.exe以及路徑在C:\windows\system\svchost.exe的進程。

　　運行”regedit”，打開注冊表編輯器，找到”HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load”，查看其內容所指向的路徑。在命令行下，運行del命令刪除腳本文件。

　　使用NTFS文件流相關工具，刪除附加在explorer.exe和smss.exe中的文件流。

　　使用文件關聯修復程序，修復被病毒修改過的文件關聯。

　　刪除每個磁盤根目錄下的autorun.inf以及vbs文件。

　　鑒於此病毒創建病毒文件、路徑還有自啟動方式都都相當復雜，建議使用瑞星殺毒軟件自動查殺。