微点交流论坛 - 主动防御 - “暴风一号”疯狂肆虐 1KB文件夹快捷方式U盘蠕虫

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » “暴风一号”疯狂肆虐 1KB文件夹快捷方式U盘蠕虫

1/2

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 “暴风一号”疯狂肆虐 1KB文件夹快捷方式U盘蠕虫

据说“暴风一号”被称为是近几年来最最有创意的病毒~

创建NTFS数据流绑架系统正常程序逃过杀毒软件的启动查杀

修改文件关联txtfile等当用户双击打开[我的电脑]就会激活执行病毒 IE劫持被病毒作者发挥用来启动自己根据系统盘序列号产生10位随机码如：1747294397.vbs 隐藏系统所有真实文件夹并创建相应的恶意lnk文件，指向病毒副本（1KB快捷方式）

%SystemRoot%\System32\svchost.exe (wscript.exe)
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OMC
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" EMC
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OIE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command
%SystemRoot%\System32\WScript.exe "C:\WINDOWS\871123686.vbs" OIE

恶搞用户弹出光驱

病毒“自助型” 杀毒软件难以匹配特征无法查杀...
用户手动删除很麻烦会导致病毒重复感染唉头疼...

[ Last edited by 点饭的百度空间 on 2009-11-4 at 22:21 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2009-11-3 11:03

314683466
注册用户

积分 182
发帖 182
注册 2009-7-4

#2

赶紧准备一下啊

※ ※ ※ 本文纯属【314683466】个人意见，与【微点交流论坛】立场无关※ ※ ※

[url=http://www.yeamai.com]易买网 [/url]

2009-11-3 11:05

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#3

这个东西修改的地方很多，而且采用NTFS数据流，如果磁盘格式是NTFS格式的，仅仅是删除文件和修复注册表那还是不行的，还必须得把那个数据流病毒给清理掉才可以的！

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

XP2（原版未打补丁）
单独微点预升级

2009-11-3 13:59

cncsf
注册用户

积分 194
发帖 194
注册 2007-8-2

#4

最近我一朋友的爱机好像就是中了这类型的病毒唉。（前段时间他的微点测试版过期了）
现在怎么也查不出来到底为什么桌面、程序菜单栏及快捷启动栏中的*.lnk文件都不能修改和删除，就是用文件粉碎机去删也会变成KKKKKKKK文件，若再删就连文件粉碎机自己也被荡掉唉。

最新版江民、最新版微点扫描杀毒、最新版微点主动防御都干过了，唉就是找不出什么毛来。

※ ※ ※ 本文纯属【cncsf】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-11-4 17:11

李莫愁
高级用户

积分 646
发帖 644
注册 2009-3-23

#5

楼主，帖子正文里面正数第四行最后有俩错别字，嘿嘿

※ ※ ※ 本文纯属【李莫愁】个人意见，与【微点交流论坛】立场无关※ ※ ※

别问我的马甲是谁，别问谁是我的马甲。在这里都是最熟悉的陌生人。。。。。。

2009-11-4 17:48

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#6

我打错了谢谢提醒！已修改

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2009-11-4 22:22

scien
中级用户

积分 296
发帖 296
注册 2009-10-13

#7

我想知道微点能不能将病毒源清除，至于恢复，只能另想办法了

[ Last edited by scien on 2009-11-5 at 13:39 ]

※ ※ ※ 本文纯属【scien】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-11-5 13:27

坐照
银牌会员

正式版用户

积分 1426
发帖 1422
注册 2009-3-24
来自湖北宜都

#8

微点能防就可以了

※ ※ ※ 本文纯属【坐照】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-11-5 14:33

cncsf
注册用户

积分 194
发帖 194
注册 2007-8-2

Quote:

Originally posted by scien at 2009-11-5 13:27:
我想知道微点能不能将病毒源清除，至于恢复，只能另想办法了

我也想知道该如何做才能修复‘NTFS数据流’，超版能不能来作个讲解呢。

[ Last edited by cncsf on 2009-11-10 at 15:12 ]

※ ※ ※ 本文纯属【cncsf】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-11-10 15:11

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#10

“暴风一号”成最新非主流病毒感染量激增至10万
2010-01-05 09:33:30 “瑞星云安全系统”

据瑞星“云安全”系统数据统计表明，暴风一号病毒早在去年10月份发现，第一个病毒变种是 Worm.Script.VBS.Autorun.bc ，但一直以来没有大规模爆发，两个月的时间共计 4 万多例用户中毒。进入2010 年后，感染量快速增长，3 天的时间感染 5 万用户，使其成为现阶段增长最快的破坏性病毒。
原文：http://www.rising.com.cn/about/news/rising/2010-01-05/6129.html

[代价惨重] 瑞星提示用户：中毒后清除病毒方法：
首先利用工具，结束掉所有 wscript.exe 以及路径在 C:\windows\system\svchost.exe 的进程。

运行“regedit”，打开注册表编辑器，找到 ”HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load” ，查看其内容所指向的路径。在命令行下，运行 del 命令删除脚本文件。

使用 NTFS 文件流相关工具，删除附加在 explorer.exe 和 smss.exe 中的文件流。

使用文件关联修复程序，修复被病毒修改过的文件关联。

删除每个磁盘根目录下的 autorun.inf 以及 vbs 文件。

鉴于此病毒创建病毒文件、路径还有自启动方式都都相当复杂，建议使用瑞星杀毒软件自动查杀。

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2010-1-6 13:07

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号