暴風一號病毒分析報告
2010-01-05 09:39:02這是一個由 VBS 腳本編寫,采用加密和自變形手段,并且通過 U 盤傳播的惡意蠕蟲病毒。
病毒行為:1、 自變形
病毒首先通過執行 strreverse() 函數,得到病毒的解密函數
解密代碼如下:
這段代碼會讀取腳本文件的注釋部分,將其解密之后
解密運行病毒之后,病毒會重新生成密鑰,將病毒代碼加密之后,再將其自復制。
所以病毒每運行一次之后,其文件內容和病毒運行之前完全不一樣。
2、 自復制
病毒會遍歷各個磁盤,并向其根目錄寫入 Autorun.inf 以及 .vbs 文件,當用戶雙擊打開磁盤時,會觸發病毒文件,使之運行。
病毒會將系統的 Wscript.exe 復制到 C:\Windows\System\svchost.exe
如果是 FAT 格式,病毒會將自身復制到 C:\Windows\System32 下,文件名為隨機數字。
如果是 NTFS 格式,病毒將會通過 NTFS 文件流的方式,將其附加到如下文件中。
C:\Windows\explorer.exe
C:\Windows\System32\smss.exe
3、 改注冊表
病毒會修改以下注冊表鍵值,將其鍵值指向病毒文件。當用戶運行 inf,bat,cmd,reg,chm,hlp 類型的文件,打開 Internet Explorer ,或者雙擊我的電腦圖標時,會觸發病毒文件,使之運行。
HKLM\SOFTWARE\Classes\inffile\shell\open\Command\ HKLM\SOFTWARE\Classes\batfile\shell\open\Command\ HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\ HKLM\SOFTWARE\Classes\regfile\shell\open\Command\ HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\ HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\ HKLM\SOFTWARE\Classes\Application\iexplore.exe\shell\open\Command\ HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command |
病毒還會修改以下注冊表鍵值,用于使文件夾選項中的“顯示隱藏文件”選項失效。
| HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue |
病毒會刪除以下鍵值,使快捷方式的圖標上疊加的小箭頭
消失。
HKCR\lnkfile\IsShortcut |
病毒會修改以下注冊表鍵值,開啟所有磁盤的自動運行特性。
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun |
病毒會修改以下鍵值,使病毒可以開機自啟動
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load |
4、 遍歷文件夾
病毒會遞歸遍歷各個盤的文件夾,當遍歷到文件夾之后,會將文件夾設置為“隱藏 + 系統 + 只讀”屬性。同時創建一個快捷方式,其目標指向 vbs 腳本,參數指向被病毒隱藏的文件夾。
由于病毒修改的注冊表會使查看隱藏文件的選項失效,也會屏蔽快捷方式圖標的小箭頭,所以具有很大的迷惑型,讓用戶誤以為打開的是文件夾。
5、 關閉彈出光驅
每當系統日期中的月和日相等的時候(比如說 1 月 1 日, 2 月 2 日……以此類推),病毒激活時,會每隔 10 秒,打開并關閉光驅。打開光驅的次數由當前月份來決定(如 1 月 1 日,每激活一次病毒,就會打開并關閉光驅 1 次; 2 月 2 日,每激活一次病毒,就會打開并關閉光驅 2 次)。
6、 會調用 mstha.exe 顯示如下圖片,并且鎖定計算機,使用戶無法操作。
7 、遍歷進程,如果發現有 regedit.exe 、 taskmgr.exe 等進程,就調用 ntsd 命令結束進程,使用戶無法打開注冊表編輯器,和任務管理器等一些基本的系統工具。
殺毒方法:首先利用工具,結束掉所有 wscript.exe 以及路徑在 C:\windows\system\svchost.exe 的進程。
運行“regedit”,打開注冊表編輯器,找到 ”HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load” ,查看其內容所指向的路徑。在命令行下,運行 del 命令刪除腳本文件。
使用 NTFS 文件流相關工具,刪除附加在 explorer.exe 和 smss.exe 中的文件流。
使用文件關聯修復程序,修復被病毒修改過的文件關聯。
刪除每個磁盤根目錄下的 autorun.inf 以及 vbs 文件。
鑒于此病毒創建病毒文件、路徑還有自啟動方式都都相當復雜,建議使用瑞星殺毒軟件自動查殺。