1KB快捷方式病毒查殺方法詳解 如何防止暴風一號自變形

　　暴風一號病毒，因為其特性，又被稱之為1KB快捷方式病毒，用戶計算機在感染暴風一號病毒之后，就會在分區根目錄下出現許多1KB快捷方式，而原來的文件夾則被隱藏了起來，1KB快捷方式病毒（暴風一號）怎么查殺呢？請看下文。

　　暴風一號（ Worm.Script.VBS.Autorun.be ）又稱 1KB快捷方式病毒。這是一個由 VBS 腳本編寫，采用加密和自變形手段，并且通過U盤傳播的惡意蠕蟲病毒。

【資料圖】

　　一、暴風一號病毒行為：

　　1、暴風一號自變形

　　病毒首先通過執行 strreverse()函數，得到病毒的解密函數。解密運行病毒之后，病毒會重新生成密鑰，將病毒代碼加密之后，再將其自復制。所以病毒每運行一次之后，其文件內容和病毒運行之前完全不一樣。

　　2、暴風一號自復制

　　病毒會遍歷各個磁盤，并向其根目錄寫入 Autorun.inf 以及 .vbs 文件，當用戶雙擊打開磁盤時，會觸發病毒文件，使之運行。

　　病毒會將系統的 Wscript.exe 復制到 C:\Windows\System\svchost.exe

　　如果是FAT 格式，病毒會將自身復制到 C:\Windows\System32 下，文件名為隨機數字。

　　如果是NTFS 格式，病毒將會通過 NTFS 文件流的方式，將其附加到如下文件中。

　　C:\Windows\explorer.exe

　　C:\Windows\System32\smss.exe

　　3、暴風一號修改注冊表

　　病毒會修改以下注冊表鍵值，將其鍵值指向病毒文件。當用戶運行 inf、bat、cmd、reg、chm、hlp 類型的文件，打開Internet Explorer ，或者雙擊我的電腦圖標時，會觸發病毒文件，使之運行。

　　HKLM\SOFTWARE\Classes\inffile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\batfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\regfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\

　　HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\Command\

　　HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

　　HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\

　　HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command

　　HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command\

　　病毒還會修改以下注冊表鍵值，用于使文件夾選項中的“顯示隱藏文件”選項失效。

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

　　病毒會刪除以下鍵值，使快捷方式的圖標上疊加的小箭頭消失

　　HKCR\lnkfile\IsShortcut

　　病毒會修改以下注冊表鍵值，開啟所有磁盤的自動運行特性。

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun

　　病毒會修改以下鍵值，使病毒可以開機自啟動

　　HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

　　4、暴風一號遍歷文件夾

　　病毒會遞歸遍歷各個盤的文件夾，當遍歷到文件夾之后，會將文件夾設置為“隱藏 + 系統 + 只讀”的屬性。同時創建一個快捷方式，其目標指向 vbs腳本，參數指向被病毒隱藏的文件夾。

　　由于病毒修改的注冊表會使查看隱藏文件的選項失效，也會屏蔽快捷方式圖標的小箭頭，所以具有很大的迷惑型，讓用戶誤以為打開的是文件夾。

　　5、暴風一號關閉彈出光驅

　　每當系統日期中的月和日相等的時候（比如說 1 月 1 日， 2 月 2 日……以此類推），病毒激活時，會每隔 10 秒，打開并關閉光驅。打開光驅的次數由當前月份來決定（如 1 月 1 日，每激活一次病毒，就會打開并關閉光驅 1 次； 2 月 2 日，每激活一次病毒，就會打開并關閉光驅 2 次）。

　　6、暴風一號鎖定計算機之后變成如下圖：

　　會調用 mshta.exe 顯示上述圖片，并且鎖定計算機，使用戶無法操作。

　　7、暴風一號傳播方式：

　　這種文件夾快捷方式病毒，會先把根目錄下所有的文件夾隱藏起來，然后在同一位置上創建同名的文件夾快捷方式，網友不知道，只要雙擊快捷方式，雖然電腦會打開先前被隱藏的文件夾，但同時也運行了病毒（后綴名為vbs的文件），于是U盤也就中毒了。那么，怎么徹底刪除并修復文件呢？

　　二、1KB快捷方式（暴風一號）怎么查殺？

　　筆者向大家提供一個解決方案：采用專業的U盤殺毒專家（教程上方有下載連接），解決方法如下：

　　1、打開U盤殺毒專家，選擇需要掃描的對象，然后點擊“開始掃描”：

　　2、U盤殺毒專家將立即開始對你的電腦進行掃描，掃描完畢，U盤殺毒專家就會對文件夾快捷方式病毒進行查殺并顯示該病毒及處理結果。選擇軟件中的“修復系統”，可以選擇“清除病毒快捷方式及恢復隱藏文件夾”，單擊 “開始修復”即可。

　　曾經筆者遭遇過暴風一號蠕蟲病毒的襲擾，導致損失了很多資料，有幸在PE系統中找到了這些文件，萬幸沒有多大的傷害。

推薦DIY文章

win10任務管理快捷鍵是什么：按順序連續按住Ctrl、Alt和Delete鍵-天天熱點

BIOS怎么開啟UEFI模式 操作準備：怎么看主板是否支持UEFI

nvidia顯卡性能排名2021發布 性價比得分與平均幀數同步上線-天天熱資訊

steam客戶端怎么打不開？這個教程可輕松解決steam打不開問題-世界觀焦點

win10家庭中文版升級專業版方法公開 如何通過密鑰無損升級-全球快看

怎么看有沒有開啟AHCI 以及固態硬盤傳輸速度測速工具推薦