Simone病毒_美国惊现t病毒丧尸_sk5病毒
的有关信息介绍如下:
摘要:VBS脚本病毒由来已久,目前仍有不少网民被此类病毒所困扰。此类病毒属于文本类的脚本病毒,基于其功能上的某些限制,该类病毒的破坏性并不大,多以恶作剧的形式出现。
不过,由于其驻留在系统中,多多少少会给网民带来诸多不便。本文对该病毒进行了行为分析,并向您呈现手动处理的全部过程。
VBS脚本病毒由来已久,目前仍有不少网民被此类病毒所困扰。此类病毒属于文本类的脚本病毒,基于其功能上的某些限制,该类病毒的破坏性并不大,多以恶作剧的形式出现。
不过,由于其驻留在系统中,多多少少会给网民带来诸多不便。本文对该病毒进行了行为分析,并向您呈现手动处理的全部过程。
病毒现象
1)注册表、任务管理器等运行后一闪消失,无常查看。
2)文件夹选项被修改,无法显示出隐藏的文件和文件夹。
图1:病毒会修改文件夹选项的设置
4)系统文件关联被篡改(红色字体标注的为被篡改项)。
图3:系统文件关联项被篡改
病毒行为分析
此类病毒的主体VBS经过变形,大部分代码以注释形式出现,运行时会动态还原出原始代码去执行。主要行为如下:
1.修改如下文件的打开方式指向病毒文件:txt、ini、 inf、bat、cmd、reg、chm、hlp;
修改IE和“我的电脑”的打开方式。
2.循环结束以下进程:ras.exe、360tray.exe、taskmgr.exe、cmd.exe、cmd.com、 regedit.exe、regedit.src、regedit.pif、regedit.com、msconfig.exe。
病毒这一行为的动机很明显,通过“先下手为强”的方法避免病毒自身及其衍生物被发现。
3.将自身脚本数据写入explorer.exe和smss.exe 文件的非默认数据流中以便随机启动。
4.在各个分区根目录下建立每个文件夹的快捷方式,并指向病毒文件,创建Autorun.inf用来传播并激活病毒。
5.在特定日期弹网页Alert框并开关光驱。
手动处理过程
1)结束所有的脚本宿主进程。通过XueTr查看系统当前正在运行的进程,发现两个明显可疑的进程:svchost.exe和wscript.exe。
病毒这里的svchost.exe可疑之处在于它的路径在C:\WINDOWS\system下,与原路径不符,并且图标和wscript.exe相同,对比MD5值后发现两进程MD5值相同,很明显是病毒把wscript.exe脚本宿主程序从system32目录拷贝到system目录中,重命名为svchost.exe,并设置为隐藏属性。
而wscript.exe默认情况下系统是不会加载的,所以这里很可能是被病毒调用了。右键选中进程,将其结束。
图4:结束脚本宿主进程svchost.exe和wscript.exe
2)删除每个分区根目录下的AutoRun.Inf和病毒的VBS文件。
VBS通常以一串随机数字命名,这里是7432815.vbs,删除后刷新一下,确认这两个文件不会再次生成。
查看AutoRun.Inf的内容如下:
[AutoRun]
Shellexecute=WScript.exe 7432815.vbs "AutoRun"
shell\open=打开(&O)
shell\open\command=WScript.exe 7432815.vbs "AutoRun"
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=WScript.exe 7432815.vbs "AutoRun"
