风暴-1病毒，因其特性，又被称为1KB捷径病毒。用户电脑感染Storm-1病毒后，很多1KB的快捷方式会出现在分区的根目录下，而原来的文件夹是隐藏的。如何杀死1KB快捷病毒？请看下文。

风暴1(蠕虫。Script.VBS.Autorun.be)也叫1KB快捷病毒。这是一个恶意蠕虫，由VBS脚本编写，加密并自我变形，通过u盘传播。

一、暴风一号病毒行为：

1.风暴一号自变形

病毒首先通过执行strreverse()函数获得病毒解密函数。解密运行中的病毒后，病毒会重新生成密钥，对病毒代码进行加密，然后从自身复制。因此，每次病毒运行后，其文件内容与病毒运行前完全不同。

2.风暴1号自我复制

病毒会遍历每个磁盘，并写入Autorun.inf和。vbs文件到它的根目录。当用户双击打开磁盘时，病毒文件将被触发运行。

病毒将系统的Wscript.exe复制到c : windows system svchost.exe。

如果是FAT格式，病毒会将自己复制到C:WindowsSystem32，文件名为随机数。

如果是NTFS格式，病毒会通过NTFS文件流将其附加到以下文件中。

C:Windowsexplorer.exe

c : Windows System32 smss . exe

3.风暴一号修改了注册表

病毒将修改以下注册表键值以指向病毒文件。当用户运行inf、bat、cmd、reg、chm、hlp文件，打开Internet Explorer，或者双击我的电脑图标时，病毒文件就会被触发运行。

shell 软件类文件外壳打开命令

shell 软件类批处理文件外壳打开命令

shell 软件类 cmd文件外壳打开命令

shell 软件类注册表外壳打开命令

shell 软件类文件外壳打开命令

shell 软件类文件外壳打开命令

shell 软件类应用程序外壳打开命令

HKCR CLSID { 871 c 5380-42 A0-1069-A2EA-08002 b 30309d } 外壳打开主页命令

HKEY _ CLASES _ ROOT CLsid { 20d 04 FE0-3AEA-1069-A2D 8-08002 b 30309d } shell

HKEY _ CLASES _ ROOT CLsid { 20d 04 FE0-3AEA-1069-A2D 8-08002 b 30309d } shell open Command

HKEY _ CLASES _ ROOT CLsid { 20d 04 FE0-3AEA-1069-A2D 8-08002 b 30309d } shell explore command

病毒还会修改以下注册表键值，以使文件夹选项中的“显示隐藏文件”选项无效。

HKLM 软件微软视窗当前版本浏览器高级文件夹隐藏无隐藏检查值

HKLM 软件微软视窗当前版本浏览器高级文件夹隐藏显示检查值

病毒会删除以下键值，这样叠加在快捷方式图标上的小箭头就会消失

HKCR n文件 is快捷方式

病毒将修改以下注册表键值，并打开所有磁盘的自动运行功能。

HKCU 软件微软窗口当前版本策略资源管理器节点驱动程序自动运行

病毒将修改以下键值，以便病毒可以自己启动

HKCU 软件微软视窗NT 当前版本视窗加载

4.一号风暴穿过文件夹

病毒会递归遍历每个磁盘的文件夹，遍历到文件夹后，文件夹会设置为“隐藏系统只读”属性。同时，创建一个快捷方式，其目标指向vbs脚本，其参数指向被病毒隐藏的文件夹。

因为病毒修改的注册表会使查看隐藏文件的选项失效，屏蔽快捷图标的小箭头，非常混乱，让用户误以为文件夹打开了。

5.一号风暴关闭了弹出驱动器

每当系统日期中的月和日相等时(例如1月1日、2月2日等)，激活病毒时，光驱会每10秒打开和关闭一次。光盘打开的次数由当月决定(例如1月1日，每次激活一个病毒，光盘就会打开关闭一次；2月2日，每次激活一个病毒，光驱都会开、关两次)。

6.暴风一号锁定电脑后，变成下图：

将调用mshta.exe显示上面的图片，计算机将被锁定，因此用户无法操作它。

7.风暴一号传输模式：

此文件夹快捷方式病毒首先隐藏根目录下的所有文件夹，然后在同一位置创建同名的文件夹快捷方式。网友不知道双击快捷方式，电脑会打开之前隐藏的文件夹，但同时也会运行病毒(后缀为vbs的文件)，所以u盘会中毒。那么，如何彻底删除和修复文件呢？

二、1KB快捷方式（暴风一号）怎么查杀？

作者给大家提供了一个解决方案：使用专业的u盘杀毒专家(教程顶部有下载连接)，解决方案如下：

1.打开u盘杀毒专家，选择要扫描的对象，然后点击“开始扫描”:

2.u盘杀毒专家会立即开始扫描你的电脑。扫描后u盘杀毒专家会对文件夹快捷方式病毒进行查杀，并显示病毒和处理结果。在软件中选择“修复系统”，可以选择“清除病毒快捷方式和恢复隐藏文件夹”，点击“开始修复”。

有一次，我被Storm-1蠕虫攻击，导致大量数据丢失。幸运的是，我在PE系统中找到了这些文件，但幸运的是，没有太大的危害。