以上是我对这个病毒的简单分析,主要谈了自己所感兴趣的几个部分。下面谈谈对于病毒的防护,前端时间,我参加了Symantec南京的一个产品发布会,会上有个销售在介绍他们的产品,其中他说到了一句会,“现在没有谁会让自己的电脑裸奔!!!”。相信很多朋友都知道,这里的裸奔就是指不安装计算机杀毒软件的电脑。实际上这个销售说错了,我曾经就有过1年多的时间“裸奔”,并且系统一直没有出现任何问题,不是我自己说的,是后来我安装了某品牌的防病毒软件进行了扫描后没有发现任何病毒的踪影。至于为什么后来安装了,完全是为了测试某品牌的杀毒软件,后来也懒的删除。
那么很多朋友要说,你可真是“神人”。我要答复的事,其实并不“神”,你们也可以做到,关键是你去不去做!
从这个病毒的运行全过程我们可以发现,基本上关键的操作都是需要系统管理员级别才能成功的。例如修改时间,枚举系统进程,对注册表进行读写。如果你所使用计算机的账户仅仅是个普通User权限,我想这个病毒就和你无缘了。
另外由于喜欢分析病毒的行为,这也为我“逃避”病毒找到了一些技巧。因为早在多年以前,我就分析过“欢乐时光”脚本病毒,那时候还不是很懂vbs脚本,可以说是病毒让我进一步了解了vbs脚本的能力,为我后来能够在工作中灵活运用脚本解决问题给了一个启发!
附录:Symantec对该病毒的资料
Discovered: March 12, 2007
Updated: March 12, 2007 5:17:48 PM
Type: Worm
Infection Length: 1,112 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000
VBS.Runauto is a Visual Basic script worm that copies itself in the root folder of all drives (including removable devices) except floppy drives.
ProtectionInitial Rapid Release version March 13, 2007
Latest Rapid Release version September 17, 2008 revision 038
Initial Daily Certified version March 13, 2007
Latest Daily Certified version September 17, 2008 revision 039
Initial Weekly Certified release date March 14, 2007
Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.
Threat AssessmentWildWild Level: Low
Number of Infections: 0 - 49
Number of Sites: 0 - 2
Geographical Distribution: Low
Threat Containment: Easy
Removal: Easy
DamageDamage Level: Low
Payload: Copies itself to all drives on the compromised computer.
DistributionDistribution Level: Low
Writeup By: Mircea Ciubotariu
