|
U盘VBS蠕虫BoyFine Worm-Script.VBS.Autorun.bc分析
综述:病毒作者自己取的病毒名叫boyfine,Worm-Script.VBS.Autorun.bc采用瑞星的命名方式。这是一个通过U盘传播的VBS蠕虫病毒,VBS脚本作了加密处理,运行后系统就被改的面目全非了,多个可执行文件关联被定向到病毒副本,病毒副本执行自身后通过传过来的相应的参数再来调用正常的程序,表面上看没有什么现象其实病毒一直在执行。通用调用WMI,对进程进行监测如果含有下列进程时 "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr","regedit.pif", "regedit.com","taskmgr.exe" , "msconfig.exe立即调用KillProcess函数将其终止。病毒副本主体名称会根据系统盘的序列号生成一个10位数的随机名称。在各盘根目录创建Autorun.inf与VBS病毒副本,另外根据根目录文件夹名创建相应的lnk文件,同时隐藏正常的文件夹,由于病毒会删除lnkfile的isShortCut属性,所以这些lnk文件不会显示快捷方式所有的小箭头标志,以便更好的伪装自己。
此外病毒还会有弹出光驱等恶作剧行为。
具体分析:(X:为各盘盘符,以Windows Xp Sp3 系统盘C盘为例)
建立档案L
C:\WINDOWS\system32\(随机).vbs
C:\WINDOWS\(随机).vbs
复制C:\WINDOWS\system32\wscript.exe 到 C:\WINDOWS\system\svchost.exe,并不断执行
C:\WINDOWS\system32\BFAlert.hta
内容为:
- <HTML><HEAD><TITLE>nuke</TITLE>
- HTA:APPLICATION APPLICATIONNAME=""BoyFine V1.0"" SCROLL=""no"" windowstate=""maximize"" border=""none""
- SINGLEINSTANCE=""yes"" CAPTION=""no"" contextMenu=""no"" ShowInTaskBar=""no"" selection=""no"">
- </HEAD><BODY bgcolor=#000000><DIV align =""center"">
- <font style=""font-size:3500%;font-family:Wingdings;color=red"">N</font><BR>
- <font style=""font-size:200%;font-family:黑体;color=red"">nuke </font>
- <DIV></BODY></HTML>
复制代码
X:\autorun.inf
X:\(随机).vbs
X:\FolderName.lnk(FolderName根据各盘根目录相应文件夹名形成,例如RECYCLER.lnk 实际指向是J:\2010368531.vbs "J:\RECYCLER\Dir")
修改下列文件的关联:
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\cmdfile\shell\open\command
HKEY_CLASSES_ROOT\chmfile\shell\open\command
HKEY_CLASSES_ROOT\regfile\shell\open\command
HKEY_CLASSES_ROOT\inifile\shell\open\command
HKEY_CLASSES_ROOT\inffile\shell\open\command
HKEY_CLASSES_ROOT\hlpfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
修改类如"我的电脑"等的打开关联:
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" EMC
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OMC
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OIE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OIE
添加自启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load=%SystemRoot%\system\svchost.exe "C:\WINDOWS\system32\871123686.vbs"
破坏正常的隐藏文件显示与后缀显示
HKEY_CLASSES_ROOT\lnkfile
IsShortCut子项被删除,以便伪装
调用CMD /C CACLS ,CMD /C RD /S /Q等命令破环autorun.inf文件夹免疫文件。
病毒处理建议:
手动删除比较麻烦会导致病毒重复感染,建议下载USBCleanerV6.0Build20091001版或者FolderCureV4.7处理并修复系统的错误。
(注:以上转摘自 幸福毛毛虫 的博客文章,链接为 http://blog.sina.com.cn/s/blog_49f921b50100fhjr.html)
以下的附件为FolderCure4.8版,如果仅仅是针对boyfine,Worm-Script.VBS.Autorun.bc等文件夹图标病毒,可直接用该专杀工具来处理。
如需处理更多的U盘病毒,请访问以上两个工具软件开发者的主页来下载USBCleaner http://www.usbcleaner.net/index1.htm |
|