解密暴风一号病毒

2018-06-23    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

    元旦过后,瑞星公司通过“云安全”系统数据分析发现,近一段时间网上流行的“暴风一号”(Worm.Script.VBS.Autorun.be)病毒感染量不断增长,11日至3日期间,共感染5万台电脑,而且增长速度还在不断加速。据介绍,感染该病毒后电脑会出现速度异常缓慢、所有正常文件夹被隐藏、光驱被定时弹出。

并用骷髅图片锁定用户电脑屏幕等现象。如有用户被感染可以使用瑞星全功能安全软件彻底查杀该病毒,以恢复电脑系统正常运行。

“暴风一号”病毒不同于目前主流病毒,不进行盗号、下载木马等常见病毒行为。瑞星反病毒工程师介绍其“七宗罪”:第一,该病毒会自动进行变形、加密、解密,使得每次运行后,病毒文件内容彻底变化,以躲避杀毒软件查杀。第二,通过Autorun的方式,使得用户打开磁盘时自动运行病毒,并修改正常的系统文件。第三,将病毒文件附加在正常系统文件中、修改注册表,以实现自身隐藏。第四,隐藏电脑中所有文件夹,并生成一个快捷方式,当用户打开时,会误认为是正常的,但病毒已经被运行。第五,每当系统日期中的月和日相等时(如22日),光驱被病毒自动弹出。第六,病毒会用下图中的骷髅图片锁定电脑屏幕,使用户无法操作。最后使得用户感染病毒后电脑运行速度变得非常缓慢,无法正常操作。


(病毒运行后,会以骷髅图片锁定电脑屏幕)

根据瑞星“云安全”系统数据统计表明,暴风一号病毒早在去年10月份发现,第一个病毒变种是Worm.Script.VBS.Autorun.bc,但一直以来没有大规模爆发,两个月的时间共计4万多例用户中毒。进入2010年后,感染量快速增长,3天的时间感染5万用户,使其成为现阶段增长最快的破坏性病毒。

那么暴风一号病毒的真实面目又是如何的呢?下面,我们就来揭开它的神秘面纱。

病毒描述:

这是一个由VBS脚本编写,采用加密和自变形手段,并且通过U盘传播的恶意蠕虫病毒。病毒行为:

1、 自变形

病毒首先通过执行strreverse()函数,得到病毒的解密函数


 

解密代码如下:


 

这段代码会读取脚本文件的注释部分,将其解密之后


 

解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。

所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。

2、 自复制

病毒会遍历各个磁盘,并向其根目录写入Autorun.inf以及.vbs文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。

病毒会将系统的Wscript.exe复制到C:\Windows\System\svchost.exe

如果是FAT格式,病毒会将自身复制到C:\Windows\System32下,文件名为随机数字。

如果是NTFS格式,病毒将会通过NTFS文件流的方式,将其附加到如下文件中。

C:\Windows\explorer.exe

C:\Windows\System32\smss.exe



 

    3、 改注册表

病毒会修改以下注册表键值,将其键值指向病毒文件。当用户运行inf,bat,cmd,reg,chm,hlp类型的文件,打开Internet Explorer,或者双击我的电脑图标时,会触发病毒文件,使之运行。

HKLM\SOFTWARE\Classes\inffile\shell\open\Command\

HKLM\SOFTWARE\Classes\batfile\shell\open\Command\

HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\

HKLM\SOFTWARE\Classes\regfile\shell\open\Command\

HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\

HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\

HKLM\SOFTWARE\Classes\Application\iexplore.exe\shell\open\Command\

HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command

病毒还会修改以下注册表键值,用于使文件夹选项中的“显示隐藏文件”选项失效。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

 病毒会删除以下键值,使快捷方式的图标上叠加的小箭头消失。

HKCR\lnkfile\IsShortcut

 病毒会修改以下注册表键值,开启所有磁盘的自动运行特性。

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun

 病毒会修改以下键值,使病毒可以开机自启动

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

 4、 遍历文件夹

病毒会递归遍历各个盘的文件夹,当遍历到文件夹之后,会将文件夹设置为“隐藏+系统+只读”属性。同时创建一个快捷方式,其目标指向vbs脚本,参数指向被病毒隐藏的文件夹。

标签: 安全 代码 脚本 数据分析

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:BAT.Reinfector.a

下一篇:Win32.Troj.Hallowav