暴风一号蠕虫病毒
【实验目的】
学会简单分析病毒代码,从病毒代码中看懂病毒是通过何种方法对系统的篡改和破坏。了解病毒是如何隐藏的,学会借助专门杀毒软件,查杀病毒。
【实验环境】
在虚拟机中进行蠕虫病毒的测试,包括其作用机制及相关杀毒工具的使用。
实验样本:暴风一号.vbs。
备注:实验工具(D盘–>攻防工具包–>蠕虫病毒:暴风一号.vbs、病毒专杀工具—BoyFineKiller、硬盘恢复工具—del.vbs)。
【实验预备知识点】
以暴风一号病毒为例。
根据病毒的VBS脚本语言,病毒首先通过执行 strreverse() 函数,得到病毒的解密函数。解密运行病毒之后,病毒会重新生成密钥,将病毒代码加密之后,再将其自复制。所以病毒每运行一次之后,其文件内容和病毒运行之前完全不一样。
病毒会遍历各个磁盘,并向其根目录写入 Autorun.inf 以及 .vbs 文件,当用户双击打开磁盘时,会触发病毒文件,使之运行。病毒会将系统的 Wscript.exe 复制到 C:\Windows\Systems\vchost.exe如果是 FAT 格式,病毒会将自身复制到 C:\Windows\System32 下,文件名为随机数字。如果是 NTFS 格式,病毒将会通过 NTFS 文件流的方式,将其附加到如下文件中C:\Windows\explorer.exe ,C:\Windows\System32\smss.exe。并且病毒会修改注册表,使进程异常,如果满足一定条件,则会触发锁定计算机等恶意行为。