“暴风一号”成最新非主流病毒 感染量激增至10万

 　元旦过后，瑞星公司通过“云安全”系统数据分析发现，近一段时间网上流行的“暴风一号”(Worm.Script.VBS.Autorun.be)病毒感染量不断增长，1月1日至3日期间，共感染5万台电脑，而且增长速度还在不断加速。据介绍，感染该病毒后电脑会出现速度异常缓慢、所有正常文件夹被隐藏、光驱被定时弹出、并用骷髅图片锁定用户电脑屏幕等现象。如有用户被感染可以使用瑞星全功能安全软件彻底查杀该病毒，以恢复电脑系统正常运行。

　　“暴风一号”病毒不同于目前主流病毒，不进行盗号、下载木马等常见病毒行为。瑞星反病毒工程师介绍其“七宗罪”：第一，该病毒会自动进行变形、加密、解密，使得每次运行后，病毒文件内容彻底变化，以躲避杀毒软件查杀。第二，通过Autorun的方式，使得用户打开磁盘时自动运行病毒，并修改正常的系统文件。第三，将病毒文件附加在正常系统文件中、修改注册表，以实现自身隐藏。第四，隐藏电脑中所有文件夹，并生成一个快捷方式，当用户打开时，会误认为是正常的，但病毒已经被运行。第五，每当系统日期中的月和日相等时(如2月2日)，光驱被病毒自动弹出。第六，病毒会用下图中的骷髅图片锁定电脑屏幕，使用户无法操作。最后使得用户感染病毒后电脑运行速度变得非常缓慢，无法正常操作。　

　　(病毒运行后，会以ku lou图片锁定电脑屏幕)

　　根据瑞星“云安全”系统数据统计表明，暴风一号病毒早在去年10月份发现，第一个病毒变种是Worm.Script.VBS.Autorun.bc，但一直以来没有大规模爆发，两个月的时间共计4万多例用户中毒。进入2010年后，感染量快速增长，3天的时间感染5万用户，使其成为现阶段增长最快的破坏性病毒。

　　附：“暴风一号”(Worm.Script.VBS.Autorun.be)病毒分析报告

　　Worm.Script.VBS.Autorun.be(暴风一号病毒)

　　病毒描述：

　　这是一个由VBS脚本编写，采用加密和自变形手段，并且通过U盘传播的恶意蠕虫病毒。

　　病毒行为：

　　1、 自变形

　　病毒首先通过执行strreverse()函数，得到病毒的解密函数　

　　解密代码如下：　

　　这段代码会读取脚本文件的注释部分，将其解密之后　

　　解密运行病毒之后，病毒会重新生成密钥，将病毒代码加密之后，再将其自复制。

　　所以病毒每运行一次之后，其文件内容和病毒运行之前完全不一样。

　　2、 自复制

　　病毒会遍历各个磁盘，并向其根目录写入Autorun.inf以及.vbs文件，当用户双击打开磁盘时，会触发病毒文件，使之运行。

　　病毒会将系统的Wscript.exe复制到C:\Windows\System\svchost.exe

　　如果是FAT格式，病毒会将自身复制到C:\Windows\System32下，文件名为随机数字。

　　如果是NTFS格式，病毒将会通过NTFS文件流的方式，将其附加到如下文件中。

　　C:\Windows\explorer.exe

　　C:\Windows\System32\smss.exe　

　　3、 改注册表

　　病毒会修改以下注册表键值，将其键值指向病毒文件。当用户运行inf,bat,cmd,reg,chm,hlp类型的文件，打开Internet Explorer，或者双击我的电脑图标时，会触发病毒文件，使之运行。　

　　病毒还会修改以下注册表键值，用于使文件夹选项中的“显示隐藏文件”选项失效。　　

　　病毒会删除以下键值，使快捷方式的图标上叠加的小箭头 消失。　　

　　病毒会修改以下注册表键值，开启所有磁盘的自动运行特性。　　

　　病毒会修改以下键值，使病毒可以开机自启动　　

　　4、 遍历文件夹

[1] [2]  下一页