正在阅读：恶意蠕虫病毒 暴风一号病毒分析报告恶意蠕虫病毒 暴风一号病毒分析报告

　　病毒描述：

　　这是一个由VBS脚本编写，采用加密和自变形手段，并且通过U盘传播的恶意蠕虫病毒。

　　病毒行为：

　　1、自变形

　　病毒首先通过执行strreverse()函数，得到病毒的解密函数

　　解密代码如下：

　　这段代码会读取脚本文件的注释部分，将其解密之后

　　解密运行病毒之后，病毒会重新生成密钥，将病毒代码加密之后，再将其自复制。

　　所以病毒每运行一次之后，其文件内容和病毒运行之前完全不一样。

　　2、自复制

　　病毒会遍历各个磁盘，并向其根目录写入Autorun.inf以及.vbs文件，当用户双击打开磁盘时，会触发病毒文件，使之运行。

　　病毒会将系统的Wscript.exe复制到C:\Windows\Systems\vchost.exe

　　如果是FAT格式，病毒会将自身复制到C:\Windows\System32下，文件名为随机数字。

　　如果是NTFS格式，病毒将会通过NTFS文件流的方式，将其附加到如下文件中。

　　C:\Windows\explorer.exe

　　C:\Windows\System32\smss.exe