■ 河南 刘景云
经过查杀操作,以为可以万事大吉了。不过当别的用户使用该机时,却出现打不开我的电脑,以及无法正常打开各种文件的故障。系统总是提示某个VBS文件不到等信息。看来,病毒一定是系统进行了各种破坏。虽然从表面上将病毒清除, 八卦养生法病毒的影响力依然存在。但因为该机没有备份注册表,又存储有一些重要数据,
能贸然执行重装等操作。看来只要对该病毒文件进行解析,就能发现其对系统做了
图1 加密后的病毒源码
Security
易理解。笔者将其单独复制出来,保存到一个名为“decode.vbs”的文件中。经过逐行整理,理清了其脉络。
上海通用景程
果然,这是一段解密代码,其尾部提供了三个函数,主要作用是乱序,转化大小等操作。该代码第二行的作用是读取原加密脚本,者将原脚本名称更改为“”,将其存放到E盘根目录下。之后将
台州市实验中学行代码“set c013=b830. opentextfile("e:\virus.“decode.vbs”文件,经过解密处理,果然得到了解密后的VBS文件(如图2),这样病毒本来面目就彻底显现了。
因为病毒的代码很长,无法逐行分析。经过研究发现该病毒“本领”还不小。对注册表进行了很多修改,例如修改了很多文件关联,如cmd、bat、txt、hlp、chm等。造成这些文件无法正常使用。病毒还破坏了和我的电脑、文件夹属性设置等相关的注册表信息,使
图2 真实的病毒内容
也会遭到病毒拦截。病毒还会在各磁盘根目录下创建名为“Autorun.inf”
imdvd指向病毒程序,
各磁盘进行了免疫处理,如创建了
Security
且无法直接删除该键值。在右键菜单上
在弹出窗口
按钮,在打开
肌球蛋白
“立
九天特训营
“高级”、
将当前账户添