色情终结者
这是一个感染型脚本病毒。
1.初始化:
(1)读取下列注册表内容,将Username的值赋给GetUserName,否则将其值设为Administrator;
"HKEY_CURRENT_USERSoftwareMicrosoftActive SetupInstalled Components
{44BBA840-CC51-11CF-AAFA-00AA00B6015C}Username"
(2)读取下列注册表内容赋于GetFSOName,否则将GetUserName的值设为Scripting.FileSystemObject;
HKEY_CLASSES_ROOTCLSID{0D43FE01-F093-11CF-8940-00A0C9054228}ProgID;
(3)读取%system%目录下%GetUserName%.ini文件第三行的数据,如果为Admin则弹出内容为"You Are Admin!!! Your Computer Will Not Be Infected!!! "的消息框;并提示用户输入相应数值进行如下操作: "0:退出; 1:监视系统; 2:传染文件, SuperVirus脚本测试!"
2.运行后具体病毒行为:
(1)运行病毒病毒会将自身副本复制到如下系统目录,并将其属性设置为系统、隐藏:
%WINNT%\%GetUserName%.vbs;
%system%\%GetUserName%.vbs;
各个分区根目录的%GetUserName%.vbs;
(2)遍历磁盘,当磁盘类型为DRIVE_NO_ROOT_DIR,DRIVE_REMOVABLE,DRIVE_FIXED时生成Autorun.inf,目的为使得用户采用鼠标双击、右键打开和右键资源管理器打开文件时,将病毒文件运行起来;
(3)生成%system32%\%GetUserName%.ini,这是病毒的配置文件。
(4)感染和破坏过程如下:
病毒运行后会遍历磁盘将含有成人色情词汇且扩展名为"mpg", "rmvb", "avi", "rm"的文件删除。
遍历磁盘中扩展名为"hta", "htm" , "html" , "asp", "vbs"的文件,并将自身插入到这些文件的头部,生成有效脚本文件实现感染。该病毒在感染前会首先判断系统中的脚本是否已经被感染,该脚本感染后,会将感染标记标记在脚本的指定位置,不重复感染。
(5)修改注册表:
<1>添加自身的启动加载项:
"HKEY_CURRENT_USERSoftWareMicrosoftWindows NTCurrentVersionWindowsLoad" 值为%SystemRoot%System32WScript.exe " %WINNT%\%GetUserName%.vbs " %1
<2>修改文件关联:
"HKEY_LOCAL_MACHINESOFTWAREClassesxtfileshellopencommand", %SystemRoot%System32WScript.exe " %WINNT%\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(类型)
"HKEY_LOCAL_MACHINESOFTWAREClasseshlpfileshellopencommand", %SystemRoot%System32WScript.exe " %WINNT%\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(类型)
"HKEY_LOCAL_MACHINESOFTWAREClasses
egfileshellopencommand",
%SystemRoot%System32WScript.exe " %WINNT%\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(类型)
"HKEY_LOCAL_MACHINESOFTWAREClasseschm.fileshellopencommand", %SystemRoot%System32WScript.exe " %WINNT%\%GetUserName%.vbs " %1(值),"REG_EXPAND_SZ"(类型)
<3>修改浏览器显示文件夹属性,隐藏文件:
"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALLCheckedValue",0(值), "REG_DWORD"(类型)
"HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
ShowSuperHidden",0(值), "REG_DWORD"(类型)
<4>打开系统自动播放功能: "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
PoliciesExplorerNoDriveTypeAutoRun",129(值), "REG_DWORD"(类型)
(6)病毒具有监视系统功能,当用户选择监视系统时,病毒会监视如下的进程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe",发现后就结束该进程,然后执行感染功能;
(7)病毒将记录感染脚本的数量,当感染脚本的数量超过200时,会自动弹出消息框,内容为"您已有超过2000个文件被感染!不过请放心,此病毒很容易被清除!请联系418465***-_- !";
(8)病毒将感染文件的信息记录到%system %目录下的%GetUserName%.ini中,如感染日期等;
(9)病毒被其设计者划分为几个主要个功能模块,这些模块以指定的串作为开头和结尾的标志,病毒实现这些模块位置在感染过程中的相互位置变换,以及模块标志的命名变化。
3.该病毒特点如下:
(1)病毒实现感染过程中的模块位置变换,增加部分杀毒软件公司的处理难度;
(2)病毒有自身的版本,当用户运行该病毒的更高版本时,其各系统盘的副本会实现替换更新,其Autorun.inf文件的文件指向也会随之变更;
(3)病毒体内本身预留了杀毒和系统注册表恢复的代码,感染后会提示用户联系其作者索取杀毒功能,有明显的讹诈意图。
=============================
病毒名称
色情终结者
威胁级别
★★☆☆☆
病毒类型
网页病毒
病毒长度
33842
影响系统
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为
这是一个感染脚本和网页文件的病毒。它运行时会关闭任务管理器、注册表编辑器、瑞士军刀注册表修复工具、360安全卫士等系统进程和安全软件,将自己扩散到所有磁盘中,感染全部的正常VBS脚本文件,还会删除名称与色情有关的avi, mpg, rm, rmvb格式的视频文件。
1. 病毒运行后,产生以下病毒文件:
%SystemRoot%\%UserName%.vbs
%SystemRoot%System32\%UserName%.vbs
%SystemRoot%System32\%UserName%.ini
以上的文件名根据用户的电脑不同有所区别, 一般为当前的用户名或Administrator. 下同.
2. 在每个盘的根目录下生成autorun.inf和%UserName%.vbs. autorun.inf指定当用户双击打开分区或点右键
选择资源管理器时, 运行病毒程序.
3. 病毒运行时, 会关闭打开的任务管理器, 注册表编辑器, msconfig, 命令行提示符, SREng, 360安全卫士等
软件.
4. 感染用户电脑上的所有以vbs为扩展名VBScript脚本文件和以hta, htm, html, asp为扩展名的网页文件.
5. 删除用户电脑上以avi, mpg, rm, rmvb为扩展名且文件名中含有特定字符串的视频文件.
6. 有时会显示消息框, 内容为"您已有超过2000个文件被感染!不过请放心,此病毒很容易被清除!请联系418465***-_- !", .
7. 修改注册表, 将病毒设置为随系统启动.
8. 修改注册表, 使用户无法通过设置文件夹选项显示隐藏文件, 也无法显示受保护的操作系统文件.
9. 将病毒文件设置为txt, hlp, chm, reg等类型文件的关联程序, 当用户双击打开这些类型的文件时, 都会执行
病毒程序.
10. 病毒可以通过U盘, 软盘和windows网络共享传播.
=============================================