文件名：126619335.vbs
文件来源：卡卡论坛
MD5:3debd05eb2fee3ea89c059419cb6a70f
病毒样本下载地址：http://u.115.com/file/f74c85937b
126619335.7z




分析结果：
中毒之后，会不停的提示脚本错误。（见图一）

 附件: 您所在的用户组无法下载或查看附件

1、病毒会修改以下注册表键值，将其键值指向病毒文件。当用户运行 inf,bat,cmd,reg,chm,hlp 类型的文件，打开 Internet Explorer ，或者双击我的电脑图标时，会触发病毒文件，使之运行。（见图二）
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\chm.file\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\hlpfile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inifile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command]

 附件: 您所在的用户组无法下载或查看附件

错误的文件文件关联对应以上注册表：
.TXT  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:683110162.vbs" %1 %* ]
.REG  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:683110162.vbs" %1 %* ]
.BAT  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:683110162.vbs" %1 %* ]
.CHM  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:683110162.vbs" %1 %* ]
.HLP  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:683110162.vbs" %1 %* ]
.INI  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:683110162.vbs" %1 %* ]
.INF  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\explorer.exe:683110162.vbs" %1 %* ]




2、修改以下注册表键值，使文件夹选项中的“显示隐藏文件”选项失效。(见图三）
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

 附件: 您所在的用户组无法下载或查看附件

3、修改以下注册表键值，开启所有磁盘的自动运行特性。
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutorun


4、每个盘符下自动生成Autorun.inf：（对应上面的注册表）【见图四】
Autorun.inf
[C:\]
[AutoRun]
Shellexecute=WScript.exe 683110162.vbs "AutoRun"
shell\open=打开(&O)
shell\open\command=WScript.exe 683110162.vbs "AutoRun"
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=WScript.exe 683110162.vbs "AutoRun"
[D:\]
[AutoRun]
Shellexecute=WScript.exe 1576777924.vbs "AutoRun"
shell\open=打开(&O)
shell\open\command=WScript.exe 1576777924.vbs "AutoRun"
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=WScript.exe 1576777924.vbs "AutoRun"

 附件: 您所在的用户组无法下载或查看附件



5、病毒会修改以下键值，使病毒可以开机自启动
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load


6、SRE日志扫描的注册表键值（对应上面修改的注册表）
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><"C:\WINDOWS\system32\smss.exe:683110162.vbs">








创建文件：
C:\Documents and Settings\Administrator\Recent\126619335.lnk
C:\Documents and Settings\Administrator\Recent\126619335.vbs.lnk


特别说明一下，注意被修改的注册表的键值；
此键值就是附加在smss.exe 中的文件流，在这里清理的时候需要用文件流的相关工具，此文件流只对NTFS分区起作用。
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><"C:\WINDOWS\system32\smss.exe:683110162.vbs">








注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是%System32%，windowsXP中默认的安装路径是%System32%32。
%Windir% 　　　　　 　　　　　 WINDODWS所在目录
%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
%Documents and Settings% 　　　 当前用户文档根目录
%Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\Local Settings\Temp
%System32% 　　　　　　　　　　 系统的 System32文件夹






用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.99 Safari/533.4

学习了

是用HIPS软件分析的吗？