3、改注册表
病毒会修改以下注册表键值,将其键值指向病毒文件。当用户运行inf,bat,cmd,reg,chm,hlp类型的文件,打开Internet Explorer,或者双击我的电脑图标时,会触发病毒文件,使之运行。
病毒还会修改以下注册表键值,用于使文件夹选项中的“显示隐藏文件”选项失效。
病毒会删除以下键值,使快捷方式的图标上叠加的小箭头消失。
病毒会修改以下注册表键值,开启所有磁盘的自动运行特性。
病毒会修改以下键值,使病毒可以开机自启动
4、遍历文件夹
病毒会递归遍历各个盘的文件夹,当遍历到文件夹之后,会将文件夹设置为“隐藏+系统+只读”属性。同时创建一个快捷方式,其目标指向vbs脚本,参数指向被病毒隐藏的文件夹。
由于病毒修改的注册表会使查看隐藏文件的选项失效,也会屏蔽快捷方式图标的小箭头,所以具有很大的迷惑型,让用户误以为打开的是文件夹。
5、关闭弹出光驱
每当系统日期中的月和日相等的时候(比如说1月1日,2月2日……以此类推),病毒激活时,会每隔10秒,打开并关闭光驱。打开光驱的次数由当前月份来决定(如1月1日,每激活一次病毒,就会打开并关闭光驱1次;2月2日,每激活一次病毒,就会打开并关闭光驱2次)。
6、会调用mstha.exe显示如下图片,并且锁定计算机,使用户无法操作。
7、遍历进程,如果发现有regedit.exe、taskmgr.exe等进程,就调用ntsd命令结束进程,使用户无法打开注册表编辑器,和任务管理器等一些基本的系统工具。
杀毒方法:
首先利用工具,结束掉所有wscript.exe以及路径在C:\windows\systems\vchost.exe的进程。
运行"regedit",打开注册表编辑器,找到"HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load\",查看其内容所指向的路径。在命令行下,运行del命令删除脚本文件。
使用NTFS文件流相关工具,删除附加在explorer.exe和smss.exe中的文件流。
使用文件关联修复程序,修复被病毒修改过的文件关联。
删除每个磁盘根目录下的autorun.inf以及vbs文件。
鉴于此病毒创建病毒文件、路径还有自启动方式都都相当复杂,建议使用瑞星杀毒软件自动查杀。
