|
暴风一号",又名"boyfine",这是一个由 VBS 脚本编写,采用加密和自变形手段,并且通过U盘传播的恶意蠕虫病毒。病毒行为有自变形、自复制、改注册表、遍历文件夹、关闭弹出光驱、锁定计算机、进程异常。
病毒会修改以下注册表键值,将其键值指向病毒文件。当用户运行 inf,bat,cmd,reg,chm,hlp 类型的文件,打开Internet Explorer ,或者双击我的电脑图标时,会触发病毒文件,使之运行。
HKLM\SOFTWARE\Classes\inffile\shell\open\Command\
HKLM\SOFTWARE\Classes\batfile\shell\open\Command\
HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\
HKLM\SOFTWARE\Classes\regfile\shell\open\Command\
HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\
HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\
HKLM\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\Command\
HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command\
每当系统日期中的月和日相等的时候(比如说1月1日,2月2日……以此类推),病毒激活时,会每隔10秒,打开并关闭光驱。打开光驱的次数由当前月份来决定(如1月1日,每激活一次病毒,就会打开并关闭光驱1次;2月2日,每激活一次病毒,就会打开并关闭光驱2次)。
风暴杀毒方法:如果电脑黑屏,可以用关闭执行任务进行关闭ait+f4
并且粉碎文件 C:\windows\system\svchost.exe
运行"regedit",打开注册表编辑器,找到 "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load" ,查看其内容所指向的路径。在命令行下,运行 del 命令删除脚本文件
| 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
点评
使用道具 举报
start cmd
%0
点评
使用道具 举报
这不是网站攻击脚本呀。。。
点评
使用道具 举报
你这个不太管用,但凡杀毒软件强一点的就直接扫出来并删除了,不过我有一个原理跟这个差不多:
start (软件名称如:微信)
%0
点评
使用道具 举报
你是老六,鞍不和老六说话!
使用道具 举报
如果没有微信那就完了。我虚拟机没扫出来
使用道具 举报
C:\Windows\appcompat\appraiser
这个位置可以吧,系统的
点评
使用道具 举报
挂个免杀
使用道具 举报
对的,就是要这种效果,其实也可以不用“微信”也可以用一些电脑cmd指令面盘无法输出的代码
使用道具 举报