A. Worm.Win32.VB.fu行为分析
病毒行为分析:该恶意软件在感染后,会在C盘生成多个文件,如autorun.inf、info.exe和驱动程序IsDrv118.sys、IsDrv120.sys。它在每个磁盘根目录下创建autorun.inf和info.exe文件,如D:、E:到Z:,试图通过用户双击盘符自动运行info.exe,其autorun.inf文件内含有执行指令。
病毒通过修改注册表,将"B-A-I-D-U-C-O-M"键值指向info.exe,使其随机启动。此外,它将系统启动项与Explorer.exe结合,同时将IE主页设为网络,干扰用户浏览。还修改了系统时间至1993年9月12日,并关闭了Cryptographic Services服务,影响系统安全性。
恶意软件会搜索各磁盘并删除GHO文件,阻碍系统恢复。同时,它会检测窗口标题,关闭包含特定关键词的窗口,如运行和文件夹选项,限制用户操作。病毒还篡改了ini、log、txt文件的关联,当用户试图运行特定正常程序时,实际上执行的是病毒程序。它还尝试结束反病毒软件服务并阻止其运行,如avp.exe、ravmon.exe等。
总之,这个Worm.Win32.VB.fu恶意软件通过多重手段,意图严重干扰用户电脑操作和系统功能,需高度警惕并采取相应安全措施。
该病毒属蠕虫类,病毒运行后衍生病毒文件到系统目录下,修改注册表,添加启动项,以达到随机启动的目的,修改系统时间,修改 IE 主页,病毒在每个盘符下新建一个 autorun.inf 文件,使用户双击盘符时自动运行病毒