微点交流论坛

标题: “暴风一号”疯狂肆虐 1KB文件夹快捷方式U盘蠕虫 [打印本页]

作者: 点饭的百度空间 时间: 2009-11-3 11:03 标题: “暴风一号”疯狂肆虐 1KB文件夹快捷方式U盘蠕虫

据说“暴风一号”被称为是近几年来最最有创意的病毒~

创建NTFS数据流绑架系统正常程序逃过杀毒软件的启动查杀

修改文件关联txtfile等当用户双击打开[我的电脑]就会激活执行病毒 IE劫持被病毒作者发挥用来启动自己根据系统盘序列号产生10位随机码如：1747294397.vbs 隐藏系统所有真实文件夹并创建相应的恶意lnk文件，指向病毒副本（1KB快捷方式）

%SystemRoot%\System32\svchost.exe (wscript.exe)
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OMC
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" EMC
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OIE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OIE

恶搞用户弹出光驱

病毒“自助型” 杀毒软件难以匹配特征无法查杀...
用户手动删除很麻烦会导致病毒重复感染唉头疼...

[ Last edited by 点饭的百度空间 on 2009-11-4 at 22:21 ]

作者: 314683466 时间: 2009-11-3 11:05
赶紧准备一下啊

作者: jaber 时间: 2009-11-3 13:59
这个东西修改的地方很多，而且采用NTFS数据流，如果磁盘格式是NTFS格式的，仅仅是删除文件和修复注册表那还是不行的，还必须得把那个数据流病毒给清理掉才可以的！

作者: cncsf 时间: 2009-11-4 17:11
最近我一朋友的爱机好像就是中了这类型的病毒唉。（前段时间他的微点测试版过期了）
现在怎么也查不出来到底为什么桌面、程序菜单栏及快捷启动栏中的*.lnk文件都不能修改和删除，就是用文件粉碎机去删也会变成KKKKKKKK文件，若再删就连文件粉碎机自己也被荡掉唉。

最新版江民、最新版微点扫描杀毒、最新版微点主动防御都干过了，唉就是找不出什么毛来。

作者: 李莫愁 时间: 2009-11-4 17:48
楼主，帖子正文里面正数第四行最后有俩错别字，嘿嘿;)

作者: 点饭的百度空间 时间: 2009-11-4 22:22
我打错了谢谢提醒！已修改 :)

作者: scien 时间: 2009-11-5 13:27
我想知道微点能不能将病毒源清除，至于恢复，只能另想办法了

[ Last edited by scien on 2009-11-5 at 13:39 ]

作者: 坐照 时间: 2009-11-5 14:33
微点能防就可以了

作者: cncsf 时间: 2009-11-10 15:11

Quote:

Originally posted by scien at 2009-11-5 13:27:
我想知道微点能不能将病毒源清除，至于恢复，只能另想办法了

我也想知道该如何做才能修复‘NTFS数据流’，超版能不能来作个讲解呢。:o

[ Last edited by cncsf on 2009-11-10 at 15:12 ]

作者: 点饭的百度空间 时间: 2010-1-6 13:07

“暴风一号”成最新非主流病毒感染量激增至10万
2010-01-05 09:33:30 “瑞星云安全系统”

据瑞星“云安全”系统数据统计表明，暴风一号病毒早在去年10月份发现，第一个病毒变种是 Worm.Script.VBS.Autorun.bc ，但一直以来没有大规模爆发，两个月的时间共计 4 万多例用户中毒。进入2010 年后，感染量快速增长，3 天的时间感染 5 万用户，使其成为现阶段增长最快的破坏性病毒。
原文：http://www.rising.com.cn/about/news/rising/2010-01-05/6129.html

[代价惨重] 瑞星提示用户：中毒后清除病毒方法：
首先利用工具，结束掉所有 wscript.exe 以及路径在 C:\windows\system\svchost.exe 的进程。

运行“regedit”，打开注册表编辑器，找到 ”HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load” ，查看其内容所指向的路径。在命令行下，运行 del 命令删除脚本文件。

使用 NTFS 文件流相关工具，删除附加在 explorer.exe 和 smss.exe 中的文件流。

使用文件关联修复程序，修复被病毒修改过的文件关联。

删除每个磁盘根目录下的 autorun.inf 以及 vbs 文件。

鉴于此病毒创建病毒文件、路径还有自启动方式都都相当复杂，建议使用瑞星杀毒软件自动查杀。

作者: 王者天下 时间: 2010-1-6 16:36
微点秒杀【暴风一号】

http://bbs.micropoint.com.cn/showthread.asp?tid=64222

作者: dianshengmi 时间: 2010-1-9 14:08
微点能防就可以了

作者: robenson 时间: 2010-1-12 12:36
还好我没有遇到过

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn