VBS病毒的解决办法!

最近电脑中了VBS病毒,都被它搞死了,试了多种方法都搞不定!在网上查了多种的方法,终于把它给查杀了,现在把它总结一下与大家分享.
Worm.VBS.headtail.a
病毒分析
Worm.VBS.headtail.a
病毒分析
Worm.VBS.headtail.a
病毒分析
病毒名称:Worm.VBS.headtail.a
病毒类型:蠕虫病毒

病毒语言:Visual Basic
关联文件:
WScript.exe
多个HTML文件(以ActiveX控件形式)

生成文件:各个盘下的autorun.inf   管理员名.vbs
%systemroot%/ autorun.inf
  管理员名
.vbs
%systemroot%/system32/ autorun.inf
  管理员名
.vbs
病毒机理

 
病毒首先将自己的属性改为只读、隐藏与系统文件通过设置注册表中的
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL/CheckedValue/
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Hidden
项中的键值从而达到隐藏自己的目的。
在经过感染后,染毒计算机成为了黑客的肉鸡,这时它会发送一个数据包,并将肉鸡与远程控制的客户端进行连接。从而达到监视系统、传染文件与supervirus脚本测试的目的。
接着,病毒又通过ActiveX的方式对自己进行保护,同时也在注册表中加载了自己的启动项(HKEY_CURRENT_USER/SoftWare/Microsoft/Windows NT/CurrentVersion/Windows/Load)。
在如下HKEY_CURRENT_USER/Software/Microsoft/Active Setup/Installed Components/{44BBA840-CC51-11CF-AAFA-00AA00B6015C}/Username
这个项中,病毒获取了系统管理员和普通用户的名称,为自己的自动运行病毒创造了文件名。

接下来又是一个关键命令:
Call CopyFile(objfso, vbsCode, path_vbs)
Call SetFileAttr(objfso, path_vbs)
inf_autorun = "[AutoRun]" & VBCRLF & "Shellexecute=WScript.exe " & Name_V1 & " ""AutoRun""" & VBCRLF & "shell/AutoRun=
打开(&O)" & VBCRLF & "shell/AutoRun/command=WScript.exe " & Name_V1 & " ""AutoRun""" & VBCRLF & "shell/AutoRun1=资源管理器(&X)" & VBCRLF & "shell/AutoRun1/command=WScript.exe " & Name_V1 & " ""AutoRun"""
Call CopyFile(objfso, inf_autorun, path_autorun)
Call SetFileAttr(objfso, path_autorun)
以上这段语句就是用来创建一个autorun.inf文件。他将右键打开的文件设为了windows用来解析vbs脚本的WScirpt.exe文件。

然后,病毒对自身又加了一些可被打开的几率,就是将.txt
.chm
.reg
.exe
.hlp
扩展名的文件关联转向自身,用户只要打开此类文件,就会在一次感染病毒。

下一步便是干掉杀毒软件与安全工具。在这个病毒中,病毒调用了killprocess命令,强制结束了"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe"这些进程,这些症状也是中了AV终结者病毒最常见的现象。
在下一步是感染网页问价,使用了ActiveX控件方式加载病毒。这一步是最危险的。只要用户不小心允许了带有病毒自身的ActiveX控件,病毒还会死灰复燃。
最后,病毒对从前的设置进行了检查,对没有发挥作用的项进行了修正,这个病毒脚本到此就结束了。
清除方法:
IceSword禁止WScript.exe程序运行,然后再依次删除
各个盘下的autorun.inf   管理员名.vbs
%systemroot%/ autorun.inf
  管理员名
.vbs
%systemroot%/system32/ autorun.inf
  管理员名
.vbs
最后注意自己的网页文件有无异常,清除受感染的网页文件,升级杀毒软件病毒库,全面查杀重启后,应会一切正常。

 

 

vbs病毒

VBS病毒是用VB Script编写而成,该脚本语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows 对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。应该说病毒就是一种思想,但是这种思想在用 VBS实现时变得极其容易。VBS 脚本病毒具有如下几个特点:
编写简单、破坏力大、感染力强、传播范围广、变种多、欺骗性强;可以通过通过Email附件传播;通过局域网共享传播;通过感染htmaspjspphp等网页文件传播;通过IRC聊天通道传播;

如何预防和解除vbs
脚本病毒
针对以上提到的VBS
脚本病毒的弱点,笔者提出如下集中防范措施:
1
)禁用文件系统对象
FileSystemObject
方法:用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。其中regsvr32Windows/System下的可执行文件。或者直接查找scrrun.dll文件删除或者改名。

还有一种方法就是在注册表中HKEY_CLASSES_ROOT/CLSID/下找到一个主键{0D43FE01-F093-11CF-8940-00A0C9054228}的项,咔嚓即可。

2
)卸载
Windows Scripting Host
Windows 98中(NT 4.0以上同理),打开[控制面板][添加/删除程序]Windows安装程序][附件],取消“Windows Scripting Host”一项。

和上面的方法一样,在注册表中HKEY_CLASSES_ROOT/CLSID/下找到一个主键{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}的项,咔嚓。

3
)删除VBSVBEJSJSE文件后缀名与应用程序的映射

点击[我的电脑][查看][文件夹选项][文件类型],然后删除VBSVBEJSJSE文件后缀名与应用程序的映射。

4
)在Windows目录中,找到WScript.exe,更改名称或者删除,如果你觉得以后有机会用到的话,最好更改名称好了,当然以后也可以重新装上。

5
)要彻底防治VBS
网络蠕虫病毒,还需设置一下你的浏览器。我们首先打开浏览器,单击菜单栏里 “Internet 选项安全选项卡里的[自定义级别]按钮。把“ActiveX控件及插件的一切设为禁用,这样就不怕了。呵呵,譬如新欢乐时光的那个ActiveX组件如果不能运行,网络传播这项功能就玩完了。
6
)禁止OE的自动收发邮件功能

7
)由于蠕虫病毒大多利用文件扩展名作文章,所以要防范它就不要隐藏系统中已知文件类型的扩展名。 Windows默认的是隐藏已知文件类型的扩展名称,将其修改为显示所有文件类型的扩展名称。
8
)将系统的网络连接的安全级别设置至少为中等,它可以在一定程度上预防某些有害的Java程序或者某些ActiveX组件对计算机的侵害。

9
)最后就是使用杀毒软件。比如:autoguarder

你可能感兴趣的:(计算机病毒防护)