暴风一号

王朝百科·作者佚名 2010-09-05

宽屏版字体: 小|中|大|超大

病毒行为1、自变形病毒首先通过执行 strreverse() 函数，得到病毒的解密函数

解密运行病毒之后，病毒会重新生成密钥，将病毒代码加密之后，再将其自复制。

所以病毒每运行一次之后，其文件内容和病毒运行之前完全不一样。2、自复制病毒会遍历各个磁盘，并向其根目录写入 Autorun.inf 以及 .vbs 文件，当用户双击打开磁盘时，会触发病毒文件，使之运行。

病毒会将系统的 Wscript.exe 复制到 C:WindowsSystemsvchost.exe

如果是 FAT 格式，病毒会将自身复制到 C:WindowsSystem32 下，文件名为随机数字。

如果是 NTFS 格式，病毒将会通过 NTFS 文件流的方式，将其附加到如下文件中。

C:Windowsexplorer.exe

C:WindowsSystem32smss.exe3、改注册表病毒会修改以下注册表键值，将其键值指向病毒文件。当用户运行 inf,bat,cmd,reg,chm,hlp 类型的文件，打开 Internet Explorer ，或者双击我的电脑图标时，会触发病毒文件，使之运行。

HKLMSOFTWAREClassesinffileshellopenCommand

HKLMSOFTWAREClassesatfileshellopenCommand

HKLMSOFTWAREClassescmdfileshellopenCommand

HKLMSOFTWAREClasses

egfileshellopenCommand

HKLMSOFTWAREClasseschm.fileshellopenCommand

HKLMSOFTWAREClasseshlpfileshellopenCommand

HKLMSOFTWAREClassesApplicationiexplore.exeshellopenCommand

HKCRCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand

HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shellopenCommand

病毒还会修改以下注册表键值，用于使文件夹选项中的“显示隐藏文件”选项失效。HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue

病毒会删除以下键值，使快捷方式的图标上叠加的小箭头消失

HKCRlnkfileIsShortcut

病毒会修改以下注册表键值，开启所有磁盘的自动运行特性。

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutorun

病毒会修改以下键值，使病毒可以开机自启动

HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload4、遍历文件夹病毒会递归遍历各个盘的文件夹，当遍历到文件夹之后，会将文件夹设置为“隐藏 + 系统 + 只读”属性。同时创建一个快捷方式，其目标指向 vbs 脚本，参数指向被病毒隐藏的文件夹。

由于病毒修改的注册表会使查看隐藏文件的选项失效，也会屏蔽快捷方式图标的小箭头，所以具有很大的迷惑型，让用户误以为打开的是文件夹。5、关闭弹出光驱每当系统日期中的月和日相等的时候（比如说 1 月 1 日， 2 月 2 日……以此类推），病毒激活时，会每隔 10 秒，打开并关闭光驱。打开光驱的次数由当前月份来决定（如 1 月 1 日，每激活一次病毒，就会打开并关闭光驱 1 次； 2 月 2 日，每激活一次病毒，就会打开并关闭光驱 2 次）。6、锁定计算机会调用 mstha.exe 显示如下图片，并且锁定计算机，使用户无法操作。7 、进程异常遍历进程，如果发现有 regedit.exe 、 taskmgr.exe、cmd.exe 等进程，就调用 ntsd 命令结束进程，使用户无法打开注册表编辑器，和任务管理器等一些基本的系统工具。

杀毒方法首先利用工具，结束掉所有 wscript.exe 以及路径在 C:windowssystemsvchost.exe 的进程。

运行“regedit”，打开注册表编辑器，找到 ”HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload” ，查看其内容所指向的路径。在命令行下，运行 del 命令删除脚本文件。

使用 NTFS 文件流相关工具，删除附加在 explorer.exe 和 smss.exe 中的文件流。

使用文件关联修复程序，修复被病毒修改过的文件关联。

删除每个磁盘根目录下的 autorun.inf 以及 vbs 文件。

鉴于此病毒创建病毒文件、路径还有自启动方式都都相当复杂，建议使用瑞星杀毒软件自动查杀。