这个病毒似乎和暴风一号不太样,不会修改隐藏快捷方式的箭头图标。首先这个病毒是VBS脚本写的,实际上就是隐藏文件,但是是病毒总有传播性,接下来让我们一起看看有关这个病毒。本文末尾提供了病毒副本的下载,以及博主写的恢复U盘文件的bat脚本下载(windows使用)。[原创文章转载请注明]
最近几天同学说他U盘上的东西打不开,让我看看,我打开一看,全是快捷方式,起初还以为是同学复制时候只复制了快捷方式进U盘,所以让他重新复制。
没几天又说文件删除不了让我看看,插上U盘打开快捷方式,我发现进文件夹可以进去,但是快捷方式删除一会儿又会出现。然后才意识到了U盘中病毒了,当然,病毒已经被复制到系统C盘了,具体位置不知道,此时其他U盘插入电脑也会被感染。
点击快捷方式可以进入文件夹,所以博主知道文件是被隐藏了,于是设置显示被隐藏文件和文件夹,被隐藏的文件都出来了,博主发现U盘根目录下有个vbs格式文件(这个就是病毒文件),因为所有的快捷方式都是调用cmd.exe 运行这个vbs文件(C:\Windows\system32\cmd.exe /c start 蠕虫病毒(vbs脚本).vbs&start PIC_20131217_125810_590.jpg&exit),但是文件属性无法修改。于是以文本形式打开了vbs这个文件,另存为txt格式。
于是百度查询了下,发现可以用DOS命令处理,但是百度上的方法都没成功,于是博主就用电脑管家查杀了病毒。U盘数据都正常显示了。自此,查杀结束。
查杀结束了但是研究还没结束呢,手动删除U盘上的病毒的研究才开始,于是查询了有关VBScript脚本的相关资料,并在虚拟机里研究起了这个病毒。
病毒的部分代码截图
![34[E)]03NA2M$@88UE%
NK.png][6]以下的病毒是博主在虚拟机+一个u盘测试并得出的方法。
首先U盘里面全是快捷方式,查看了快捷方式的属性发现是连接到cmd.exe运行vbs这个文件的(具体链接地址 C:\Windows\system32\cmd.exe /c start 蠕虫病毒(vbs脚本).vbs&start PIC_20131217_125810_590.jpg&exit),只要打开这些快捷方式,电脑就会感染病毒。
根目录可以发现病毒文件vbs格式(当然这是博主放在虚拟机里面的)所以病毒名字是博主改成中文了。
博主尝试格式化U盘,但打开U盘后,病毒文件任然存在。放文件进入依旧变成快捷方式,由此得出结论:格式化完以后,病毒又被自动复制到U盘。说明病毒已经复制到了电脑。奇怪的是C盘根目录会多了一些文件。但是这些文件似乎和病毒没多大关系,暂时无解。百度到的方法都不行,下面透露下博主的方法。
打开任务管理器,找到wscript.exe停止进程,进U盘删除快捷方式和vbs病毒文件(如果不停止进程wscript.exe,删除快捷方式和病毒文件,几秒后,快捷方式和病毒又出现在U盘)。
打开开始菜单运行 输入cmd调用cmd控制台,输入你的盘符:(如果无法直接删除快捷方式和病毒文件,请执行del .lnk .vbs)然后执行attrib -r -s -h /s /d
文件回来了,但是,拔掉U盘后记得用杀毒软件全盘扫描C盘,否则重启电脑后插入U盘,还会感染U盘。病毒副本(改为vbs格式可以运行 *谨慎操作):病毒副本下载
杀U盘病毒脚本:windows查杀U盘快捷方式蠕虫病毒脚本
博主很厉害啊~~另外,为什么都喜欢百度云····
手机上方便用百度云,还有,今天才安装上七牛云储存插件。