A. Worm.Win32.VB.fu行為分析
病毒行為分析:該惡意軟體在感染後,會在C盤生成多個文件,如autorun.inf、info.exe和驅動程序IsDrv118.sys、IsDrv120.sys。它在每個磁碟根目錄下創建autorun.inf和info.exe文件,如D:、E:到Z:,試圖通過用戶雙擊盤符自動運行info.exe,其autorun.inf文件內含有執行指令。
病毒通過修改注冊表,將"B-A-I-D-U-C-O-M"鍵值指向info.exe,使其隨機啟動。此外,它將系統啟動項與Explorer.exe結合,同時將IE主頁設為網路,干擾用戶瀏覽。還修改了系統時間至1993年9月12日,並關閉了Cryptographic Services服務,影響系統安全性。
惡意軟體會搜索各磁碟並刪除GHO文件,阻礙系統恢復。同時,它會檢測窗口標題,關閉包含特定關鍵詞的窗口,如運行和文件夾選項,限制用戶操作。病毒還篡改了ini、log、txt文件的關聯,當用戶試圖運行特定正常程序時,實際上執行的是病毒程序。它還嘗試結束反病毒軟體服務並阻止其運行,如avp.exe、ravmon.exe等。
總之,這個Worm.Win32.VB.fu惡意軟體通過多重手段,意圖嚴重干擾用戶電腦操作和系統功能,需高度警惕並採取相應安全措施。
該病毒屬蠕蟲類,病毒運行後衍生病毒文件到系統目錄下,修改注冊表,添加啟動項,以達到隨機啟動的目的,修改系統時間,修改 IE 主頁,病毒在每個盤符下新建一個 autorun.inf 文件,使用戶雙擊盤符時自動運行病毒