病毒名称:Worm.VBS.headtail.a
病毒类型:蠕虫病毒
病毒语言:Visual Basic
关联文件:WScript.exe
多个HTML文件(以ActiveX控件形式)
生成文件:各个盘下的autorun.inf及 管理员名.vbs
%systemroot%\ autorun.inf及 管理员名.vbs
%systemroot%\system32\ autorun.inf及 管理员名.vbs
病毒机理
病毒首先将自己的属性改为只读、隐藏与系统文件通过设置注册表中的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
项中的键值从而达到隐藏自己的目的。
在经过感染后,染毒计算机成为了黑客的肉鸡,这时它会发送一个数据包,并将肉鸡与远程控制的客户端进行连接。从而达到监视系统、传染文件与supervirus脚本测试的目的。
接着,病毒又通过ActiveX的方式对自己进行保护,同时也在注册表中加载了自己的启动项(HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Load)。
在如下HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\Username
这个项中,病毒获取了系统管理员和普通用户的名称,为自己的自动运行病毒创造了文件名。
接下来又是一个关键命令:
Call CopyFile(objfso, vbsCode, path_vbs)
Call SetFileAttr(objfso, path_vbs)
inf_autorun = "[AutoRun]" & VBCRLF & "Shellexecute=WScript.exe " & Name_V1 & " ""AutoRun""" & VBCRLF & "shell\AutoRun=打开(&O)" & VBCRLF & "shell\AutoRun\command=WScript.exe " & Name_V1 & " ""AutoRun""" & VBCRLF & "shell\AutoRun1=资源管理器(&X)" & VBCRLF & "shell\AutoRun1\command=WScript.exe " & Name_V1 & " ""AutoRun"""
Call CopyFile(objfso, inf_autorun, path_autorun)
Call SetFileAttr(objfso, path_autorun)
以上这段语句就是用来创建一个autorun.inf文件。他将右键打开的文件设为了windows用来解析vbs脚本的WScirpt.exe文件。
然后,病毒对自身又加了一些可被打开的几率,就是将.txt
.chm
.reg
.exe
.hlp扩展名的文件关联转向自身,用户只要打开此类文件,就会在一次感染病毒。
下一步便是干掉杀毒软件与安全工具。在这个病毒中,病毒调用了killprocess命令,强制结束了"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe"这些进程,这些症状也是中了AV终结者病毒最常见的现象。
在下一步是感染网页问价,使用了ActiveX控件方式加载病毒。这一步是最危险的。只要用户不小心允许了带有病毒自身的ActiveX控件,病毒还会死灰复燃。
最后,病毒对从前的设置进行了检查,对没有发挥作用的项进行了修正,这个病毒脚本到此就结束了。
清除方法:
用IceSword禁止WScript.exe程序运行,然后再依次删除
各个盘下的autorun.inf及 管理员名.vbs
%systemroot%\ autorun.inf及 管理员名.vbs
%systemroot%\system32\ autorun.inf及 管理员名.vbs
最后注意自己的网页文件有无异常,清除受感染的网页文件,升级杀毒软件病毒库,全面查杀重启后,应会一切正常。
|