1KB快捷方式病毒查殺方法 暴風(fēng)一號(hào)病毒專(zhuān)殺

　　暴風(fēng)一號(hào)病毒，因?yàn)槠涮匦�，又被稱(chēng)之為1KB快捷方式病毒，用戶(hù)計(jì)算機(jī)在感染暴風(fēng)一號(hào)病毒之后，就會(huì)在分區(qū)根目錄下出現(xiàn)許多1KB快捷方式，而原來(lái)的文件夾則被隱藏了起來(lái)，1KB快捷方式病毒（暴風(fēng)一號(hào)）怎么查殺呢？請(qǐng)看下文。

　　暴風(fēng)一號(hào)（ Worm.Script.VBS.Autorun.be ）又稱(chēng) 1KB快捷方式病毒。這是一個(gè)由 VBS 腳本編寫(xiě)，采用加密和自變形手段，并且通過(guò)U盤(pán)傳播的惡意蠕蟲(chóng)病毒。

　　一、暴風(fēng)一號(hào)病毒行為：

　　1、暴風(fēng)一號(hào)自變形

　　病毒首先通過(guò)執(zhí)行 strreverse()函數(shù)，得到病毒的解密函數(shù)。解密運(yùn)行病毒之后，病毒會(huì)重新生成密鑰，將病毒代碼加密之后，再將其自復(fù)制。所以病毒每運(yùn)行一次之后，其文件內(nèi)容和病毒運(yùn)行之前完全不一樣。

　　2、暴風(fēng)一號(hào)自復(fù)制

　　病毒會(huì)遍歷各個(gè)磁盤(pán)，并向其根目錄寫(xiě)入 Autorun.inf 以及 .vbs 文件，當(dāng)用戶(hù)雙擊打開(kāi)磁盤(pán)時(shí)，會(huì)觸發(fā)病毒文件，使之運(yùn)行。

　　病毒會(huì)將系統(tǒng)的 Wscript.exe 復(fù)制到 C:\Windows\System\svchost.exe

　　如果是FAT 格式，病毒會(huì)將自身復(fù)制到 C:\Windows\System32 下，文件名為隨機(jī)數(shù)字。

　　如果是NTFS 格式，病毒將會(huì)通過(guò) NTFS 文件流的方式，將其附加到如下文件中。

　　C:\Windows\explorer.exe

　　C:\Windows\System32\smss.exe

　　3、暴風(fēng)一號(hào)修改注冊(cè)表

　　病毒會(huì)修改以下注冊(cè)表鍵值，將其鍵值指向病毒文件。當(dāng)用戶(hù)運(yùn)行 inf、bat、cmd、reg、chm、hlp 類(lèi)型的文件，打開(kāi)Internet Explorer ，或者雙擊我的電腦圖標(biāo)時(shí)，會(huì)觸發(fā)病毒文件，使之運(yùn)行。

　　HKLM\SOFTWARE\Classes\inffile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\batfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\cmdfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\regfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\chm.file\shell\open\Command\

　　HKLM\SOFTWARE\Classes\hlpfile\shell\open\Command\

　　HKLM\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\Command\

　　HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

　　HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\

　　HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\Command

　　HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command\

　　病毒還會(huì)修改以下注冊(cè)表鍵值，用于使文件夾選項(xiàng)中的“顯示隱藏文件”選項(xiàng)失效。

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

　　病毒會(huì)刪除以下鍵值，使快捷方式的圖標(biāo)上疊加的小箭頭消失

　　HKCR\lnkfile\IsShortcut

　　病毒會(huì)修改以下注冊(cè)表鍵值，開(kāi)啟所有磁盤(pán)的自動(dòng)運(yùn)行特性。

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun

　　病毒會(huì)修改以下鍵值，使病毒可以開(kāi)機(jī)自啟動(dòng)

　　HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

　　4、暴風(fēng)一號(hào)遍歷文件夾

　　病毒會(huì)遞歸遍歷各個(gè)盤(pán)的文件夾，當(dāng)遍歷到文件夾之后，會(huì)將文件夾設(shè)置為“隱藏 + 系統(tǒng) + 只讀”的屬性。同時(shí)創(chuàng)建一個(gè)快捷方式，其目標(biāo)指向 vbs腳本，參數(shù)指向被病毒隱藏的文件夾。

　　由于病毒修改的注冊(cè)表會(huì)使查看隱藏文件的選項(xiàng)失效，也會(huì)屏蔽快捷方式圖標(biāo)的小箭頭，所以具有很大的迷惑型，讓用戶(hù)誤以為打開(kāi)的是文件夾。

　　5、暴風(fēng)一號(hào)關(guān)閉彈出光驅(qū)

　　每當(dāng)系統(tǒng)日期中的月和日相等的時(shí)候（比如說(shuō) 1 月 1 日， 2 月 2 日……以此類(lèi)推），病毒激活時(shí)，會(huì)每隔 10 秒，打開(kāi)并關(guān)閉光驅(qū)。打開(kāi)光驅(qū)的次數(shù)由當(dāng)前月份來(lái)決定（如 1 月 1 日，每激活一次病毒，就會(huì)打開(kāi)并關(guān)閉光驅(qū) 1 次； 2 月 2 日，每激活一次病毒，就會(huì)打開(kāi)并關(guān)閉光驅(qū) 2 次）。

　　6、暴風(fēng)一號(hào)鎖定計(jì)算機(jī)之后變成如下圖：

　　會(huì)調(diào)用 mshta.exe 顯示上述圖片，并且鎖定計(jì)算機(jī)，使用戶(hù)無(wú)法操作。

　　7、暴風(fēng)一號(hào)傳播方式：

　　這種文件夾快捷方式病毒，會(huì)先把根目錄下所有的文件夾隱藏起來(lái)，然后在同一位置上創(chuàng)建同名的文件夾快捷方式，網(wǎng)友不知道，只要雙擊快捷方式，雖然電腦會(huì)打開(kāi)先前被隱藏的文件夾，但同時(shí)也運(yùn)行了病毒（后綴名為vbs的文件），于是U盤(pán)也就中毒了。那么，怎么徹底刪除并修復(fù)文件呢？

　　二、1KB快捷方式（暴風(fēng)一號(hào)）怎么查殺？

　　筆者向大家提供一個(gè)解決方案：采用專(zhuān)業(yè)的U盤(pán)殺毒專(zhuān)家（教程上方有下載連接），解決方法如下：

　　1、打開(kāi)U盤(pán)殺毒專(zhuān)家，選擇需要掃描的對(duì)象，然后點(diǎn)擊“開(kāi)始掃描”：

　　2、U盤(pán)殺毒專(zhuān)家將立即開(kāi)始對(duì)你的電腦進(jìn)行掃描，掃描完畢，U盤(pán)殺毒專(zhuān)家就會(huì)對(duì)文件夾快捷方式病毒進(jìn)行查殺并顯示該病毒及處理結(jié)果。選擇軟件中的“修復(fù)系統(tǒng)”，可以選擇“清除病毒快捷方式及恢復(fù)隱藏文件夾”，單擊 “開(kāi)始修復(fù)”即可。

　　曾經(jīng)筆者遭遇過(guò)暴風(fēng)一號(hào)蠕蟲(chóng)病毒的襲擾，導(dǎo)致?lián)p失了很多資料，有幸在PE系統(tǒng)中找到了這些文件，萬(wàn)幸沒(méi)有多大的傷害。