一个奇怪的病毒，不知道有没有人知道

Cyberman.Wu

昨天有人的本子的IE老是访问一个网址（具体忘了，好像是.com.uk的），最后我找到它应该是通过脚本来控制的，因为每次启动能看到一个进程wscript.exe，杀掉之后再改回注册表就好了。现在确认这个脚本执行程序本身应该是没问题的，因为我执行自己写的.vbs文件让它跑起来不会有问题。

现在不知道这个进程是怎么被启动的（常见的地方都没找到），感觉是执行某个脚本，但搜索到的.vbs和.js都看不出哪个可能是有问题的。

Cyberman.Wu

启动和服务等常见的各种启动程序的手段中都没看到可疑的脚本；搜索出来的脚本也没找到，因为这台电脑也不是最近两天刚中招的。我用搜索带那个地址文本的.vbs和.js都没找到。

Cyberman.Wu

原帖由 flb_2001 于 2009-8-12 15:35 发表
1、你怎么知道是脚本vbs呢
2、你是用什么查杀的

1、我也没说一定是vbs，wscript.exe支持多种脚本，我搜索了VBScript和JScript。
2、这个是别人的机器，上面原来装的杀病软件都查不出来。我只是人工分析找到可疑的进程wscript.exe，并且确认是它导致不停地回写注册表，而这个是用来执行脚本的。只是我对Windows不是很熟悉，不知道如何得到它是在执行什么脚本，查了注册表等各种地方也没找到是如何被启动起来的。

Cyberman.Wu

昨天又有哥们中招，所兴把它搞定了，上次不知道为啥在注册表中用wscript.exe没有找出来，这个病毒是通过改写HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit把自己追加上去完成自启动的，以前还不知道这种方式。也算一个U盘病毒，不过也没干特别坏的事，除了传播自己还删除两个特定的.vbs文件（不属于WinXP）。

详细分析不写了，现在出差只能蹭网，网络时好时坏。奇怪的是我用vim排版之后感觉多了一个End If，看来还是要在虚拟机环境中运行测试一下。

Cyberman.Wu

VIM是UNIX-Like操作系统中很常见的编辑器。

Cyberman.Wu

当时他们好像试过几个都不行，我不用杀软，所以还不太清楚。

Cyberman.Wu

这个病毒我原来拿到我虚拟机里试了一下好像报错，文件编码有点儿奇怪，后来忙得吐血也没空理它了。今天靠一小段落，代码我就不发了，不过把清除它的方式描述一下，希望对其他人能有所帮助：
1. 用进程管理器或taskkill杀掉正在运行的wscript.exe。
2. 修改HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit，把后面附加的chiku2008.VBS去掉。
3. 删除System32下的chiku2008.VBS文件。
4. 恢复注册表中IE的一些设置，这个病毒修改了以下几项：

HKCU\Software\Microsoft\Internet Explorer\Main\Window Title HKCU\Software\Microsoft\Internet Explorer\Main\Start Page HKCU\Software\Microsoft\Internet Explorer\Main\FullScreen

Cyberman.Wu

其实不用管理员登录基本上不会中招，可惜许多人不习惯。其实基于NT的2000/XP权限管理已经做得挺细致的了，可惜因为习惯原因，Windows下有挺多软件无法用管理员安装然后普通用户使用，所以习惯上都直接用管理员了。