暴风一号病毒Worm.Script.VBS.Autorun.be分析报告

　　日前，瑞星通过“云安全”系统数据分析发现，近一段时间网上流行的“暴风一号”(Worm.Script.VBS.Autorun.be)病毒感染量不断增长，1月1日至3日期间，共感染5万台电脑，而且增长速度还在不断加速。据介绍，感染该病毒后电脑会出现速度异常缓慢、所有正常文件夹被隐藏、光驱被定时弹出、并用骷髅图片锁定用户电脑屏幕等现象。

　　病毒描述：

　　这是一个由VBS脚本编写，采用加密和自变形手段，并且通过U盘传播的恶意蠕虫病毒。

　　病毒行为分析：

　　1、自变形

　　病毒首先通过执行strreverse()函数，得到病毒的解密函数

解密代码如下：

这段代码会读取脚本文件的注释部分，将其解密之后

　　解密运行病毒之后，病毒会重新生成密钥，将病毒代码加密之后，再将其自复制。

　　所以病毒每运行一次之后，其文件内容和病毒运行之前完全不一样。

　　2、自复制

　　病毒会遍历各个磁盘，并向其根目录写入Autorun.inf以及.vbs文件，当用户双击打开磁盘时，会触发病毒文件，使之运行。

　　病毒会将系统的Wscript.exe复制到C:WindowsSystemsvchost.exe

　　如果是FAT格式，病毒会将自身复制到C:WindowsSystem32下，文件名为随机数字。

　　如果是NTFS格式，病毒将会通过NTFS文件流的方式，将其附加到如下文件中。

　　C:Windowsexplorer.exe

　　C:WindowsSystem32smss.exe

　　3、改注册表

　　病毒会修改以下注册表键值，将其键值指向病毒文件。当用户运行inf,bat,cmd,reg,chm,hlp类型的文件，打开Internet Explorer，或者双击我的电脑图标时，会触发病毒文件，使之运行。

　　HKLMSOFTWAREClassesinffileshellopenCommand

　　HKLMSOFTWAREClassesbatfileshellopenCommand

　　HKLMSOFTWAREClassescmdfileshellopenCommand

　　HKLMSOFTWAREClassesregfileshellopenCommand

　　HKLMSOFTWAREClasseschm.fileshellopenCommand

　　HKLMSOFTWAREClasseshlpfileshellopenCommand

　　HKLMSOFTWAREClassesApplicationiexplore.exeshellopenCommand

　　HKCRCLSID\shellOpenHomePageCommand

　　HKEY_CLASSES_ROOTCLSID\shellopenCommand

　　病毒还会修改以下注册表键值，用于使文件夹选项中的“显示隐藏文件”选项失效。

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue

　　病毒会删除以下键值，使快捷方式的图标上叠加的小箭头消失。

　　HKCRlnkfileIsShortcut

　　病毒会修改以下注册表键值，开启所有磁盘的自动运行特性。

　　HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutorun

　　病毒会修改以下键值，使病毒可以开机自启动

　　HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload

　　4、遍历文件夹

　　病毒会递归遍历各个盘的文件夹，当遍历到文件夹之后，会将文件夹设置为“隐藏+系统+只读”属性。同时创建一个快捷方式，其目标指向vbs脚本，参数指向被病毒隐藏的文件夹。

　　由于病毒修改的注册表会使查看隐藏文件的选项失效，也会屏蔽快捷方式图标的小箭头，所以具有很大的迷惑型，让用户误以为打开的是文件夹。

　　5、关闭弹出光驱

　　每当系统日期中的月和日相等的时候(比如说1月1日，2月2日……以此类推)，病毒激活时，会每隔10秒，打开并关闭光驱。打开光驱的次数由当前月份来决定(如1月1日，每激活一次病毒，就会打开并关闭光驱1次;2月2日，每激活一次病毒，就会打开并关闭光驱2次)。

　　6、会调用mstha.exe显示如下图片，并且锁定计算机，使用户无法操作。

　　7、遍历进程，如果发现有regedit.exe、taskmgr.exe等进程，就调用ntsd命令结束进程，使用户无法打开注册表编辑器，和任务管理器等一些基本的系统工具。

杀毒方法：

　　首先利用工具，结束掉所有wscript.exe以及路径在C:windowssystemsvchost.exe的进程。

　　运行”regedit”，打开注册表编辑器，找到”HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload”，查看其内容所指向的路径。在命令行下，运行del命令删除脚本文件。

　　使用NTFS文件流相关工具，删除附加在explorer.exe和smss.exe中的文件流。

　　使用文件关联修复程序，修复被病毒修改过的文件关联。

　　删除每个磁盘根目录下的autorun.inf以及vbs文件。

　　鉴于此病毒创建病毒文件、路径还有自启动方式都都相当复杂，建议使用瑞星杀毒软件自动查杀。