VBS专杀

悠嘻猴

本款软件由上海山丽信息安全有限公司研发，
请关注：www.sanlen.com


        软件名称：VBS专杀
        软件类别：专杀工具
        软件版本：
        软件大小：66.7K
        应用平台：Win2003/WinXP/Win2000/NT/WinME/Win9X/
        更新时间：2008-02-02 18:29:23
        授权方式：免费软件

软件说明


   
病毒评估

        病毒名称：Virus.VBS.d
        危害程度：★★★★
        受影响的系统：Windows 9X, Windows NT, Windows 2000, Windows XP, Windows Server 2003
        未受影响的系统：Windows 3.x, Macintosh, Unix, Linux
病毒危害：

1 导致计算机运行变慢，而导致以下杀软或工具不能正常运行：ras.exe（瑞星杀毒软件），360tray.exe（360安全卫士），taskmgr.exe（任务管理器），cmd.exe（命令行工具），cmd.com，regedit.exe（ 注册表编辑器），regedit.scr，regedit.pif，regedit.com，msconfig.exe，SREng.exe，USBAntiVir.exe。
2 感染本地.hta，.htm，.html，.asp，.vbs的WEB文件。
3 删除本地计算机中部分扩展名为.mpg，.rmvb，.avi，.rm的图片或视频文件。
4 当病毒感染的文件数超过2000个进，会弹出对话框提示信息，提示内容为：“您已有超过2000个文件被感染!不过请放心，此病毒很容易被清除!请联系418465***-_- !”
传播形式：

1 修改注册表子键：HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Load内容实现开机自启动，其值内容为：“%SystemRoot%\System32\WScript.exe X:\windows\用户名.vbs %1 %* ”。
2 遍历磁盘，搜索扩展名为.hta，.htm，.html，.asp，.vbs的文件，如果该文件大小小于348K，则将病毒体插入到该文件的前部。如果扩展为.mpg, .rmvb, .avi, .rm的文件，而且其文件名又包含病毒中所包含 的特定字符串，则删除该文件。
3 传播自身：

        1） 在每个分区下建立autorun文件:
        [AutoRun]
        Shellexecute=WScript.exe juan.vbs "AutoRun"
        shell\AutoRun=打开(&O)
        shell\AutoRun\command=WScript.exe juan.vbs "AutoRun"
        shell\AutoRun1=资源管理器(&X)
        shell\AutoRun1\command=WScript.exe juan.vbs "AutoRun"

其中juan是当前计算机用户名称。
        2） 将到身拷到X:\windows\用户名.vbs和X:\windows\systm32\用户名.vbs，并设置为隐藏属性。
        3） 修改注册表中.txt, .reg, .chm, .hlp的文件关联为"%SystemRoot%\System32\WScript.exe X:\windows\用户名.vbs %1 %* "
        4） 修改注册表键值将“显示隐藏文件”功能关闭。
4 该病毒应用了代码变形技术，致使杀毒很难查杀：

        1）病毒以当前的计算机用户名开始标记，结束标记为计算机用户名的倒转。
        2）病毒体被分成了诸多模块，并用随机字符串标记各模块的开始和结束，每次传播会重组各模块的顺序，然后再感染其他文件。
预防：

1 关闭U盘的“自动播放功能”。
2 将病毒库升级到最新，并开启防病毒软件的实时监控。
VBS专杀.rar (62.98 KB, 下载次数: 486)

2008-8-8 13:28 上传

点击文件名下载附件