然后关于“病毒不是通过wscript运行,而是thumb.db原本就是病毒本体,一运行explore就会启动thumb.db”的说法是不正确的。VBS是脚本语言,脚本语言必须要有解释器,也就是所谓的“宿主”,负责执行程序的代码。通常情况下,VBS的默认脚本解释器就是wscript.exe(WinXP&Win7)和cscript.exe(Win10)。这个病毒只是把自己重命名为"thumb.db"和"database.mdb"来混淆视线,伪装成正常文件和系统文件,而实际上执行时仍然是依靠wscript.exe运行的。病毒执行时,只要打开任务管理器,就能看见一个wscript.exe的进程,这就是执行病毒的宿主运行时的进程。
vbs吧 关注:18,263贴子:104,554
雨云病毒功能和代码差不多了解了,开发他的专杀就要对应着它的原理来
首先,最主要的功能,是要清除磁盘(U盘)内他创建的病毒文件。在专杀里面函数DelVirus()就是实现这个功能的主要函数。我写这个函数的基本思路是循环调用自己,遍历磁盘的每个文件夹和每个文件,根据文件名判断是否为病毒文件,然后删除它。
根据病毒源码,病毒有可能会创建的文件有:*.lnk,thumb.db,database.mdb,Microsoft Office Update for Windows XP.sys,其中database.mdb和Microsoft Office Update for Windows XP.sys是放在系统中固定的路径的,我们可以在开始查杀的时候就直接寻找删除,而其它的则是病毒根据磁盘(U盘)里原来的文件和文件夹创建的,散落在磁盘(U盘)的各个角落没有固定位置,这时我们就需要根据病毒的文件创建规则判断哪些是病毒的文件了
首先,最主要的功能,是要清除磁盘(U盘)内他创建的病毒文件。在专杀里面函数DelVirus()就是实现这个功能的主要函数。我写这个函数的基本思路是循环调用自己,遍历磁盘的每个文件夹和每个文件,根据文件名判断是否为病毒文件,然后删除它。
根据病毒源码,病毒有可能会创建的文件有:*.lnk,thumb.db,database.mdb,Microsoft Office Update for Windows XP.sys,其中database.mdb和Microsoft Office Update for Windows XP.sys是放在系统中固定的路径的,我们可以在开始查杀的时候就直接寻找删除,而其它的则是病毒根据磁盘(U盘)里原来的文件和文件夹创建的,散落在磁盘(U盘)的各个角落没有固定位置,这时我们就需要根据病毒的文件创建规则判断哪些是病毒的文件了
其次,我们要清楚恢复被修改的注册表项,清除病毒创建的注册表项。
为了实现开机自动启动,病毒丧心病狂地写了两个启动项,分别是注册表的HKCU_RUN和HKLM_RUN,文件分别指向database.mdb和Microsoft Office Update for Windows XP.sys。在专杀程序中,我们要删除这两个注册表项和文件。
病毒最恶心的注册表项就是那个“HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\”和"HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\"。这个注册表目录及其下面的项在桌面上创建了一个名叫“Yuyun_Cantix”的不可删除图标。虽然没有什么实际杀伤力,但是本着为用户服务的宗旨和力求完美的原则(凑字数),也要把它删掉。
最后还有两个:病毒创建的"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools"和病毒删除的"HKCR\lnkfile\IsShortcut",前者禁用了注册表编辑器,后者清除快捷方式文件右下角的小箭头图标,我们也要把它们恢复。
为了实现开机自动启动,病毒丧心病狂地写了两个启动项,分别是注册表的HKCU_RUN和HKLM_RUN,文件分别指向database.mdb和Microsoft Office Update for Windows XP.sys。在专杀程序中,我们要删除这两个注册表项和文件。
病毒最恶心的注册表项就是那个“HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\”和"HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\"。这个注册表目录及其下面的项在桌面上创建了一个名叫“Yuyun_Cantix”的不可删除图标。虽然没有什么实际杀伤力,但是本着为用户服务的宗旨和力求完美的原则(凑字数),也要把它删掉。
最后还有两个:病毒创建的"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools"和病毒删除的"HKCR\lnkfile\IsShortcut",前者禁用了注册表编辑器,后者清除快捷方式文件右下角的小箭头图标,我们也要把它们恢复。
