文章插图
计算机安全资讯网截获一个以移动存储介质传播,修改网页文件的“U盘病毒” 。之所以在“U盘病毒”上加引号,是因为它似乎是一个纯粹“概念性”的恶意文件,与一般U盘病毒的木马、后门特性不同,此病毒不具有泄露用户隐私数据的企图和作用 。更重要的是,其主体为一个vbs文件,作者通过它,又向我们展示了.vbs文件的“强大威力” 。病毒复制自身到 %WinDir%{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs %System%{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs X:{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs 并释放X:autorun.inf,这里的 X 指每一个盘 。为以上文件加入隐藏属性和系统属性 。除了通过autorun.inf之外,还以以下方式实现启动: 1.将注册表 HKEY_CURRENT_USERSoftWareMicrosoftWindows NTCurrentVersionWindowsLoad 键值指向在%System%.中的副本 2.修改.txt文件关联,指向在%WinDir%中的副本,另外与典型的U盘病毒类似的作法是,修改破坏显示隐藏文件的注册表,以及驱动器禁用自动播放设置 。同时,病毒由wscript.exe调用后常驻内存,可搜索并结束以下进程: "ras.exe","360tray.exe","taskmgr.exe","regedit.exe","msconfig.exe","SREng.exe","USBAntiVir.exe" 来阻碍用户的清除工作 。病毒具有自更新机制,当新版本的病毒体进入电脑后会覆盖旧版本 。同时,病毒有令人厌恶的感染机制: 病毒每一次启动,搜索除C盘以外的盘符下的*.htm,*.asp,*.html,*.vbs文件,并将病毒主体代码内容加在搜索到的前150个未感染网页文件内容的前面 。然而病毒最令人忍俊不禁之处在于: 病毒搜索除C盘以外的盘符下的*.mpg, *.rmvb, *.avi, *.rm等视频文件,并以其文件名中含不含有病毒所设定的某些“令人尴尬”的文字为判断依据,确定文件是否色情视频,若确认为色情视频,则立即删除之!! 这一招,也许就是某些用户的“噩梦”了…… 清除方法也不算复杂,用第三方进程管理工具(只需不在被结束进程列表中),结束内存中的wscript.exe进程,之后进行删除文件和恢复注册表的工作 。最麻烦的一环,仍然是清理被加入代码的网页文件 。被加入代码以"'$Top"开始,以"'$Bottom"结束,将这两个标号之间的内容删除即可 。至于被删除的XXX片……
【wscript.exe 病毒】
推荐阅读
- 帝王花怎么养护
- 厚脸皮植物适合摆放在室内吗
- 红掌的分株繁殖图解
- 睡莲和碗莲有什么区别
- 迎春花怎样压条
- 动物避暑方法 动物怎么避暑
- 跳舞草种植教程 跳舞草种植方法介绍
- 上海老1930风情街
- 襄阳小吃 襄阳小吃有哪些
- 汗疱疹自己多久能好