1KB快捷方式病毒(暴风一号)怎么运行?怎么办?

电脑杂谈  发布时间:2021-04-08 04:02:58  来源:网络整理

宝峰1号病毒由于其特性而被称为1KB快捷病毒。用户的计算机感染了1号风暴后,该分区的根目录中会出现许多1KB的快捷方式,但原来的文件夹是隐藏的。如何检查并杀死1KB捷径病毒(宝峰1号)?请参见下面。

风暴一号(Worm.Script.VBS.Autorun.be)也被称为1KB快捷方式病毒。这是一种由VBS脚本编写的恶意蠕虫,它使用加密和自我转换方法,并通过U盘传播。

一、宝峰1号病毒行为:

1、宝峰1号自身变形

病毒首先通过执行strreverse()函数获得病毒的解密功能。解密并运行病毒后,病毒会重新生成密钥,加密病毒代码,然后进行自我复制。因此,每次病毒运行时,其文件内容都与病毒运行前完全不同。

2、宝峰1号自我复制

该病毒将遍历每个磁盘并将Autorun.inf和.vbs文件写入其根目录。当用户双击打开磁盘时,它将触发病毒文件并使其运行。

该病毒会将系统的Wscript.exe复制到C:\ Windows \ System \ svchost.exe

如果它是FAT格式,则病毒将自身复制到C:\ Windows \ System32,并且文件名将是一个随机数。

如果是NTFS格式,则病毒将通过NTFS文件流将其附加到以下文件。

C:\ Windows \ explorer.exe

C:\ Windows \ System32 \ smss.exe

3、宝峰1号修改注册表

该病毒将修改以册表项,并将其注册表项指向病毒文件。当用户运行inf,bat,cmd,reg,chm,hlp类型文件,打开Internet Explorer或双击“我的电脑”图标时,它将触发病毒文件并使其运行。

HKLM \ SOFTWARE \ Classes \ inffile \ shell \ open \ Command \

HKLM \ SOFTWARE \ Classes \ batfile \ shell \ open \ Command \

HKLM \ SOFTWARE \ Classes \ cmdfile \ shell \ open \ Command \

HKLM \ SOFTWARE \ Classes \ regfile \ shell \ open \ Command \

HKLM \ SOFTWARE \ Classes \ chm.file \ shell \ open \ Command \

HKLM \ SOFTWARE \ Classes \ hlpfile \ shell \ open \ Command \

HKLM \ SOFTWARE \ Classes \ Applications \ iexplore.exe \ shell \ open \ Command \

HKCR \ CLSID \ {871C5380-42A0-1069-A2EA-08002B30309D} \ shell \ OpenHomePage \ Command

HKEY_CLASSES_ROOT \ CLSID \ {20D04FE0-3AEA-1069-A2D8-08002B30309D} \ shell \

HKEY_CLASSES_ROOT \ CLSID \ {20D04FE0-3AEA-1069-A2D8-08002B30309D} \ shell \ open \ Command

HKEY_CLASSES_ROOT \ CLSID \ {20D04FE0-3AEA-1069-A2D8-08002B30309D} \ shell \ explore \ command \

该病毒还修改了以册表项,以使文件夹选项中的“显示隐藏文件”选项无效。

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ NOHIDDEN \ CheckedValue

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ CheckedValue

该病毒将删除以下键,并使叠加在快捷方式图标上的小箭头消失

HKCR \ lnkfile \ IsShortcut

该病毒将修改以册表项并打开所有磁盘的自动运行功能。

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ NoDriveTypeAutorun

该病毒将修改以下键值,以便该病毒在启动后可以自动启动。

HKCU \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows \ load

4、 Storm One遍历文件夹

该病毒将递归地遍历每个磁盘的文件夹。遍历该文件夹后,该文件夹将被设置为“隐藏+系统+只读”属性。同时,创建一个快捷方式,其目标指向vbs脚本,参数指向被病毒隐藏的文件夹。

由于被病毒修改的注册表将使查看隐藏文件的选项无效,并且还会阻止快捷方式图标的小箭头,因此非常混乱,并使用户错误地认为该文件夹已打开。

u盘快捷方式病毒查杀_怎么查杀u盘快捷方式病毒_电脑管家不联网能查杀u盘病毒

5、 Storm One关闭弹出的CD-ROM驱动器

只要系统日期中的月份和日期相等(例如1月1日,2月2日等),则在激活病毒后,CD-ROM驱动器将每10秒打开和关闭一次。打开CD-ROM驱动器的次数由当月决定(例如,在1月1日,每次激活病毒时,CD-ROM驱动器将被打开和关闭一次;在2月2日,每次被打开和关闭)。病毒被激活后,CD-ROM驱动器将被打开和关闭两次。

6、 Storm One锁定计算机,并显示如下:

1KB快捷方式病毒查杀方法 暴风一号病毒专杀

将调用Mshta.exe显示以上图片,并且计算机将被锁定,以便用户无法操作它。

7、宝峰1号传输方式:

这种文件夹快捷方式病毒将首先隐藏根目录中的所有文件夹,然后在相同位置创建具有相同名称的文件夹快捷方式。网民不知道,只需双击快捷方式,尽管计算机会打开以前隐藏的文件夹,但同时也正在运行病毒(后缀为vbs的文件)​​,因此USB闪存驱动器也处于运行状态。中毒了。那么,如何完全删除和修复文件?

二、如何查找并杀死1KB快捷方式(Storm One)?

作者为您提供了一个解决方案:使用的U盘防病毒专家(下载链接位于教程顶部),解决方案如下:

1、打开U盘防病毒专家,选择要扫描的对象,然后单击“开始扫描”:

1KB快捷方式病毒查杀方法 暴风一号病毒专杀

2、 U盘防病毒专家将立即开始扫描您的计算机。扫描完成后,U盘防毒专家将检查并杀死文件夹快捷方式病毒,并显示病毒及其处理结果。在软件中选择“修复系统”,选择“清除病毒快捷方式并还原隐藏的文件夹”,然后单击“开始修复”。

1KB快捷方式病毒查杀方法 暴风一号病毒专杀

我曾经遇到过Storm 1蠕虫,这导致很多数据丢失。幸运的是,我在PE系统中找到了这些文件。幸运的是,危害不大。


本文来自电脑杂谈,转载请注明本文网址:
http://www.pc-fly.com/a/shouji/article-366655-1.html

    相关阅读
    发表评论  请自觉遵守互联网相关的政策法规,严禁发布、暴力、反动的言论

    热点图片
    拼命载入中...