wscript.exe U盘病毒详细介绍

计算机安全资讯网截获一个以移动存储介质传播，修改网页文件的“U盘病毒”。

之所以在“U盘病毒”上加引号，是因为它似乎是一个纯粹“概念性”的恶意文件，与一般U盘病毒的木马、后门特性不同，此病毒不具有泄露用户隐私数据的企图和作用。更重要的是，其主体为一个vbs文件，作者通过它，又向我们展示了.vbs文件的“强大威力”。

病毒复制自身到
%WinDir%{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
%System%{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
X:{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs

并释放X:autorun.inf，这里的 X 指每一个盘。为以上文件加入隐藏属性和系统属性。

除了通过autorun.inf之外，还以以下方式实现启动：

1.将注册表
HKEY_CURRENT_USERSoftWareMicrosoftWindows NTCurrentVersionWindowsLoad 键值指向在%System%.中的副本

2.修改.txt文件关联，指向在%WinDir%中的副本，另外与典型的U盘病毒类似的作法是，修改破坏显示隐藏文件的注册表，以及驱动器禁用自动播放设置。

同时，病毒由wscript.exe调用后常驻内存，可搜索并结束以下进程：
"ras.exe","360tray.exe","taskmgr.exe","regedit.exe","msconfig.exe","SREng.exe","USBAntiVir.exe"
来阻碍用户的清除工作。
病毒具有自更新机制，当新版本的病毒体进入电脑后会覆盖旧版本。

同时，病毒有令人厌恶的感染机制：
病毒每一次启动，搜索除C盘以外的盘符下的*.htm,*.asp,*.html,*.vbs文件，并将病毒主体代码内容加在搜索到的前150个未感染网页文件内容的前面。

然而病毒最令人忍俊不禁之处在于：
病毒搜索除C盘以外的盘符下的*.mpg, *.rmvb, *.avi, *.rm等视频文件，并以其文件名中含不含有病毒所设定的某些“令人尴尬”的文字为判断依据，确定文件是否色情视频，若确认为色情视频，则立即删除之！！
这一招，也许就是某些用户的“噩梦”了……

清除方法也不算复杂，用第三方进程管理工具（只需不在被结束进程列表中），结束内存中的wscript.exe进程，之后进行删除文件和恢复注册表的工作。

最麻烦的一环，仍然是清理被加入代码的网页文件。被加入代码以"'$Top"开始，以"'$Bottom"结束，将这两个标号之间的内容删除即可。
至于被删除的XXX片……