暴风一号.ppt

目录 一、什么是暴风一号？ 二、它行为 危害 有哪些？ 三、查杀方式有哪些？ 一、暴风一号 暴风一号（ Worm.Script.VBS.Autorun.be ）：这是一个由 VBS 脚本编写，采用加密和自变形手段，并且通过 U 盘传播的恶意蠕虫病毒。 二、病毒的行为 1、自变形 2、自复制 3、 改注册表 4、 遍历文件夹 5、 关闭弹出光驱 6、锁定计算机 7 、进程异常 1、自变形： 病毒首先通过执行 strreverse 函数，得到病毒的解密函数 ，解密运行病毒之后，病毒会重新生成密钥，将病毒代码加密之后，再将其自复制。 2、自复制： 　a.　病毒会遍历各个磁盘，并向其根目录写入 Autorun.inf 以及 .vbs 文件，当用户双击打开磁盘时，会触发病毒文件，使之运行。 　b.　病毒会将系统的 Wscript.exe 复制到 C:\Windows\System\svchost.exe 。如果是 FAT 格式，病毒会将自身复制到 C:\Windows\System32 下，文件名为随机数字。如果是 NTFS 格式，病毒将会通过 NTFS 文件流的方式，将其附加到如下文件中。 C:\Windows\explorer.exe 　　C:\Windows\System32\smss.exe 病毒已通过 NTFS 文件流的方式，将其附加到如下文件中。 C:\Windows\explorer.exe 病毒双击运行之后 把所有的文件夹都弄成快捷方式 3、 改注册表 　　病毒会修改以下注册表键值，将其键值指向病毒文件。当用户运行 inf,bat,cmd,reg,chm,hlp 类型的文件，打开 Internet Explorer ，或者双击我的电脑图标时，会触发病毒文件，使之运行。 　 病毒修改以下注册表键值，用于使文件夹选项中的“显示隐藏文件”选项失效。 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 新建一个名为“安全组”的PPT文件 修改其属性为“只读+隐藏” 在“工具”/“文件夹选项”/“查看”把“隐藏文件和文件夹”里面，选显示所有文件和文件夹 由于病毒修改的注册表使查看隐藏文件的选项失效，所以现在看不见隐藏的文件 病毒删除键值，使快捷方式的图标上叠加的小箭头消失 4、 遍历文件夹 　　病毒会递归遍历各个盘的文件夹，当遍历到文件夹之后，会将文件夹设置为“隐藏 + 系统 + 只读”属性。同时创建一个快捷方式，其目标指向 vbs 脚本，参数指向被病毒隐藏的文件夹。 由于病毒修改的注册表会使查看隐藏文件的选项失效，也会屏蔽快捷方式图标的小箭头，所以具有很大的迷惑型，让用户误以为打开的是文件夹。 由于病毒修改的注册表会使查看隐藏文件的选项失效，也会屏蔽快捷方式图标的小箭头，所以具有很大的迷惑型，让用户误以为打开的是文件夹。 5、 关闭弹出光驱 　　每当系统日期中的月和日相等的时候（比如说 1 月 1 日， 2 月 2 日……以此类推），病毒激活时，会每隔 10 秒，打开并关闭光驱。打开光驱的次数由当前月份来决定（如 1 月 1 日，每激活一次病毒，就会打开并关闭光驱 1 次； 2 月 2 日，每激活一次病毒，就会打开并关闭光驱 2 次）。 6、锁定计算机 　　会调用 mstha.exe 显示如下图片，并且锁定计算机，使用户无法操作。 7 、进程异常 　　遍历进程，如果发现有 regedit.exe 、 taskmgr.exe、cmd.exe 等进程，就调用 ntsd 命令结束进程，使用户无法打开注册表编辑器，和任务管理器等一些基本的系统工具。 在运行里面输入“regedit” 注册表编辑器一闪而过 CPU占用率100%，打开闪退 三、暴风一号病毒专杀工具 运行暴风一号专杀工具 查杀毒之后，文件夹上的快捷方式消失 在“工具”/“文件夹选项”/“查看”把“隐藏文件和文件夹”里面，选显示所有文件和文件夹 之前未显示的隐藏文件现在显示出来了 C盘里面的快捷方式全消失 * *