从搜索引擎结【jié】果来看,该病毒【dú】最早出现时间为 2009 年,主流杀毒软【ruǎn】件【jiàn】厂【chǎng】商均将此病【bìng】毒命名为【wéi】 Worm.Win32.Autorun,从名称可【kě】以判断该【gāi】病毒为 Windows 平台通过移动介质【zhì】传播的蠕【rú】虫病毒。病毒【dú】文【wén】件运行后【hòu】,首先复制自身【shēn】到Windows 目录下(C:windowstsay.exe),文件图标伪装为文件夹【jiá】。
经调查,该【gāi】蠕虫正常【cháng】情况下表现为文件夹蠕虫,集中【zhōng】爆发是【shì】由于病毒代码中【zhōng】内置【zhì】了部分特殊日期【qī】,在匹配到对应【yīng】日期后【hòu】会触发蠕虫的删除文件功【gōng】能,爆发该蠕虫【chóng】事件的用户感染【rǎn】时【shí】间应该早于2021年1月13号,根据【jù】分析【xī】推测,下次触发删除文【wén】件行【háng】为的时间【jiān】约【yuē】为9-22和9-22。
该【gāi】蠕虫病毒运行后会检测自身执行路径,如在windows目录下则会将其【qí】他磁【cí】盘的【de】文【wén】件进行【háng】遍历删除,并留下一个名为incaseformat.log的空【kōng】文【wén】件:
若当前【qián】执行路径不在windows目录【lù】,则自复制在系统盘的windows目录【lù】下,并创建【jiàn】RunOnce注册表值【zhí】设置【zhì】开机【jī】自启:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa
值: C:windowstsay.ex
病毒文件将在主机重启后运行,并开始遍历所【suǒ】有【yǒu】非系【xì】统分【fèn】区下目录并设置【zhì】为隐【yǐn】藏【cáng】,同时创【chuàng】建同名的病毒文件【jiàn】。
此外还会通过修改【gǎi】注册表,实现不显示隐藏文件及隐【yǐn】藏【cáng】已知【zhī】文件类【lèi】型扩【kuò】展名,涉及的注【zhù】册表项【xiàng】包括:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHideFileExtcheckedvalue
【标准版】400元/年/5用户/无限容量
【外贸版】500元/年/5用户/无限容量
其它服【fú】务:网站建设、企业邮【yóu】箱、数字证书ssl、400电话、
联系方式:电话:13714666846 微信同号
声【shēng】明:本站所有作品(图文、音视频)均由【yóu】用【yòng】户自行上传分享,或互【hù】联网相关【guān】知识整合,仅供【gòng】网友【yǒu】学习交流,若您【nín】的权利被侵害,请【qǐng】联系【xì】 管理员 删【shān】除。
本文链【liàn】接:https://www.city96.com/article_32803.html