暴风一号
计算机病毒
“暴风一号”,又名“boyfine”,在
Windows Defender
中称为“Worm.Script.VBS.Autorun.be ”这是一个由 VBS 脚本编写,采用加密和自变形手段,并且通过
U盘
传播的恶意
蠕虫病毒
。病毒行为有自变形、自复制、改注册表、遍历文件夹、关闭弹出光驱、锁定计算机、进程异常。
病毒行为
自变形
病毒首先通过执行 strreverse函数,得到病毒的解密函数。
解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。
所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。
自复制
病毒会遍历各个磁盘,并向其
根目录
写入 Autorun.inf 以及 .vbs 文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。
病毒会将系统的
Wscript.exe
如果是NTFS 格式,病毒将会通过 NTFS 文件流的方式,将其附加到如下文件中。