一个U盘autorun样本（.vbs），大家来分析下~

weieii

别说我孤陋寡闻哈，最近老是碰到这类病毒（先叫他病毒），大家来分析看看告诉我，我弄不明白哈~



初步估计它还能更改“文件夹选项”里 显示隐藏文件及文件夹的设置 。

样本压缩包密码：point

尤金卡巴斯基

To KL

zzhao

to avira

adad2008

kv报vbs病毒

BING126

McAfee 全灭。。

ray1106

红伞爆了一个

RandomOS

隐藏分区根目录下所有文件夹，并为分区根目录下所有文件夹创建快捷方式指向C盘下一个vbs病毒副本。此vbs执行的同时还会打开快捷方式对应的文件夹。
以下是病毒对注册表的更改

Values added: 10
--------------------
HKEY_LOCAL_MACHINE\software\classes\clsid\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\explore\command
  (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe "C:\Windows\explorer.exe:1594700103.vbs" EMC
HKEY_LOCAL_MACHINE\software\classes\clsid\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\open\command
  (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe "C:\Windows\explorer.exe:1594700103.vbs" OMC
HKEY_CURRENT_USER\software\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
  (SZ) C:\Windows\system\svchost.exe =Microsoft (R) Windows Based Script Host
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess
  (SZ) BrowseNewProcess =yes
HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Windows
  (SZ) Load ="C:\Windows\System32\smss.exe:1594700103.vbs"
  (SZ) Ver =1
  (SZ) Date =2009/12/5
Values changed: 22
--------------------
HKEY_LOCAL_MACHINE\software\classes\Applications\iexplore.exe\shell\open\command
  Old: (SZ) (Default) ="C:\Program Files\Internet Explorer\iexplore.exe" %1
  New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe "C:\Windows\explorer.exe:1594700103.vbs" OIE
HKEY_LOCAL_MACHINE\software\classes\batfile\shell\open\command
  Old: (EXPAND_SZ) (Default) ="%1" %*
  New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe "C:\Windows\explorer.exe:1594700103.vbs" %1 %*
HKEY_LOCAL_MACHINE\software\classes\chm.file\shell\open\command
  Old: (EXPAND_SZ) (Default) ="%SystemRoot%\hh.exe" %1
  New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe "C:\Windows\explorer.exe:1594700103.vbs" %1 %*
HKEY_LOCAL_MACHINE\software\classes\clsid\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
  Old: (SZ) (Default) ="C:\Program Files\Internet Explorer\iexplore.exe"
  New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe "C:\Windows\explorer.exe:1594700103.vbs" OIE
HKEY_LOCAL_MACHINE\software\classes\inifile\shell\open\command
  Old: (EXPAND_SZ) (Default) =%SystemRoot%\system32\NOTEPAD.EXE %1
  New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe "C:\Windows\explorer.exe:1594700103.vbs" %1 %*
HKEY_LOCAL_MACHINE\software\classes\regfile\shell\open\command
  Old: (EXPAND_SZ) (Default) =regedit.exe "%1"
  New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe "C:\Windows\explorer.exe:1594700103.vbs" %1 %*
HKEY_LOCAL_MACHINE\software\classes\txtfile\shell\open\command
  Old: (SZ) (Default) =C:\Windows\notepad.exe %1
  New: (EXPAND_SZ) (Default) =%SystemRoot%\System32\WScript.exe "C:\Windows\explorer.exe:1594700103.vbs" %1 %*

病毒还将自身以NTFS流形式附到系统关键进程上，让人不便删除。另外该病毒vbs是自变形的。

jetflt

让人不便删除。另外该病毒vbs是自变形的

RandomOS

EQ日志

2009-12-05 22:53:45    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
注册表名称:Load
更改后:"C:\WINDOWS\system32\smss.exe:2075451338.vbs"
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\txtfile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\inifile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\inffile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\batfile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\cmdfile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\regfile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\chm.file\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\hlpfile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
注册表名称:CheckedValue
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
触发规则:所有程序规则->*

2009-12-05 22:53:46    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表名称:NoDriveTypeAutoRun
触发规则:所有程序规则->*

2009-12-05 22:53:50    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\txtfile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:50    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\inifile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:50    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\inffile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:50    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\batfile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:50    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\cmdfile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:50    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\regfile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:50    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\chm.file\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:50    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\hlpfile\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:50    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
注册表名称:[Default]
触发规则:所有程序规则->*

2009-12-05 22:53:50    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
注册表名称:CheckedValue
触发规则:所有程序规则->*

2009-12-05 22:53:50    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
触发规则:所有程序规则->*

2009-12-05 22:53:50    修改注册表内容      操作:使用任务隔离区操作
进程路径:C:\WINDOWS\system32\wscript.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
注册表名称:NoDriveTypeAutoRun
触发规则:所有程序规则->*

jayavira

ess 全kill