天高云淡

让我们关注互联网!关注世界!

天高云淡 header image 2
“IRC波特变种BBU”病毒 “投票VBS脚本”病毒

“投票VBS脚本”病毒技术

2007年11月20日      打印 打印

这是一个VBS编写的脚本病毒

病毒运行后会先获取本机计算名称,并将自身更改名称为”ComputerName.vbs”(computername为获得的本机计算机名称)复制到%SYSTEM32%目录中.

病毒会遍历进程,查找以下要害字的进程”ras.exe”, “360tray.exe”, “taskmgr.exe”, “cmd.exe”, “cmd.com”, “regedit.exe”, “regedit.scr”, “regedit.pif”, “regedit.com”, “msconfig.exe”, “SREng.exe”, “USBAntiVir.exe”,并结束这些进程,使当前机器失去保护.

病毒会修改注册表和修改Win.ini文件达到自启动目的HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Load”SystemRoot%\System32\WScript.exe 病毒路径名”WIN.INI\WINDOWS”LOAD” = %SYSTEM%\(病毒文件名)

病毒会修改如下文件关联,使用户在执行下列类型文件时,病毒可以跟随启动.
HKEY_CLASSES_ROOT\chm.file\shell\open\command%SYSTEMROOT%\SYSTEM32\WSCRIPT.EXE “%WINDOWS%\OP.VBS” %1 %*
HKEY_CLASSES_ROOT\txtfile\shell\open\command%SYSTEMROOT%\SYSTEM32\WSCRIPT.EXE “%WINDOWS%\OP.VBS” %1 %*
HKEY_CLASSES_ROOT\regfile\shell\open\command%SYSTEMROOT%\SYSTEM32\WSCRIPT.EXE “%WINDOWS%\OP.VBS” %1 %*

病毒会修改注册表选项,使当前机器查看隐藏文件失效
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\Advanced”ShowSuperHidden” = 0X00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SHOWALL”CheckedValue” = 0X00000000

遍历本地分区,假如是可移动存储设备,映射目录,本地磁盘,则向对应的根目录中写入autorun.inf wscript.exe 和病毒本身
autorun.inf的内容如下:
[AutoRun]”
“Shellexecute=WScript.exe ”
“shell\AutoRun=打开(&O)”
“shell\AutoRun\command=WScript.exe “
“shell\AutoRun1=资源治理器(&X)”
“shell\AutoRun1\command=WScript.exe “

病毒遍历中毒机器中的html hta htm asp vbs文件,当本身插入到以上类型文件中的任意部分,达到感染文件的目的.

病毒会遍历mpg rmvb avi rm文件,并删除一些规定好要害字的文件.

总结:该病毒虽然没有一些具体的偷用户密码,开后门,监控用户机器等行为,但该病毒有很大的扩展空间,拿到该脚本病毒的人,可以随意向中添加代码.例如加上一段Downloade代码,就可以变成一个可感染型的下载病毒,而这些下载的病毒,有可能是偷密码的,有可能是后门,也有可能是蠕虫,总之,这个脚本病毒是一个很好的框架,给病毒制作者提供了一个便利的平台.同时,也会对广大用户来带很大的潜在危险.


安全建议:

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。

3 不浏览不良网站,不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。

清除办法:

1 . 瑞星杀毒软件清除办法:

安装瑞星杀毒软件,升级到19.41.12版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。

危险等级:★★★
病毒名称:Script.VBS.Vote
截获时间:2007-9-18
入库版本:19.41.12
类型:病毒

感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况:

传播级别:高

全球化传播态势:低

清除难度:一般

破坏力:高

破坏手段:给其它恶意程序提供传播平台

Tags: 电脑相关

0 responses so far ↓

  • There are no comments yet...Kick things off by filling out the form below.

Leave a Comment