暴风一号
计算机病毒
“暴风一号”,又名“boyfine”,在Windows Defender中称为“Worm.Script.VBS.Autorun.be ”这是一个由 VBS 脚本编写,采用加密和自变形手段,并且通过U盘传播的恶意蠕虫病毒。病毒行为有自变形、自复制、改注册表、遍历文件夹、关闭弹出光驱、锁定计算机、进程异常。
病毒行为
自变形
病毒首先通过执行 strreverse函数,得到病毒的解密函数。
解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。
所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。
自复制
病毒会遍历各个磁盘,并向其根目录写入 Autorun.inf 以及 .vbs 文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。
病毒会将系统的 Wscript.exe
如果是NTFS 格式,病毒将会通过 NTFS 文件流的方式,将其附加到如下文件中。