前言:
在卡饭看到一个vbs病毒(http://bbs.kafan.cn/viewthread.php?tid=150360&extra=page%3D1),虽然不太懂vbs,但硬着头皮看了看,发现技术不错,而且有一项挺有趣的,对于某些同志来说^_^
X=DI=$K$E#X#=D$#IK=EX$#DIK+E+XDI$KE+X+D=+IKEXDI$=K$E=X##DI#K$#E+X#DIK#E=X$D$$I+K#E=X
样本信息:
只有少得可怜的三个报了……
瑞星 | 19.0 | 19.47.12.00 | 2007-10-30 | Script.VBS.Agent.ai
| 0.689 | 金山毒霸 | 2007.6.20.249 | 2007.10.31 | 2007-10-31 | VBS.DNAOrder.aa.35780
| 0.832 | AntiVir | 7.6.0.30 | 7.0.0.155 | 2007-10-30 | VBS/Changeset.A
| 2.203 |
文件名称 : | juan.vbs | 文件大小 : | 33824 byte | 文件类型 : | ISO-8859 text, with very long lines, with CRLF line terminat | MD5 : | e0a3ab130609c80b452ee423d3a55355 | SHA1 : | f5408df5f8d2765738db8f5080bb88cab105c038
|
IKE=X#$DI=KE=+XDI#K#EXD#IK=E#+XD+I#=K$E$X++D+#I#=K+=E+=X+D#I=$KE#XDI$KEXDI+K#E==X==DI
初始化:
读取HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\Username的值,赋于GetUserName,否则设为Administrator;
读取HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID\的值,赋于GetUserName,否则设为Scripting.FileSystemObject;
读取c:\WINDOWS\system32\%GetUserName%.ini文件第三行的值,如果为Admin则提示你是Admin,你的系统不会被感染,接着还可以进入调试;
$I=KE#=XDIK+EX$$DIK++EXD$IK+EX==DI=$KEX+$D#I$K==E+#X$DI+K#EXD#$I$K+EXD#I#=K+EX#=D+=I
文件改动:
复制副本到c:\WINDOWS\%GetUserName%.vbs、c:\WINDOWS\system32\%GetUserName%.vbs、各个分区根目录的%GetUserName%.vbs (%GetUserName%就是上面读取的那个值,为了区别而在两边加上%)
各个分区根目录下生成:autorun.inf
c:\WINDOWS\system32\%GetUserName%.ini
删除含有"成人", "淫", "偷拍", "偷窥", "口交", "强奸", "轮奸", "伦理片", "自摸"这些字眼并且扩展名为"mpg", "rmvb", "avi", "rm"的文件^_^
搜索扩展名为"hta", "htm" , "html" , "asp", "vbs"的文件,并将自身插入到这些文件的头部。
X$D$#IK#E#X+D=I$K=#E#XDI++K+E+$X#DIKEX+D#I+#K$E=XD#I+KE#XD#I#KE+X=D=I#KEXD$IKEX$#D=
注册表改动:
启动加载:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
值:Type: REG_SZ, Length: 76, Data: C:\WINDOWS\system32\Administrator.vbs
修改文件关联:
HKCR\txtfile\shell\open\command\(Default)
值:Type: REG_EXPAND_SZ, Length: 144, Data: %SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %*
HKCR\regfile\shell\open\command\(Default)
值:Type: REG_EXPAND_SZ, Length: 144, Data: %SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %*
HKCR\chm.file\shell\open\command\(Default)
值:Type: REG_EXPAND_SZ, Length: 144, Data: %SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %*
HKCR\hlpfile\shell\open\command\(Default)
值:Type: REG_EXPAND_SZ, Length: 144, Data: %SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %*
打开自动播放:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
值:Type: REG_DWORD, Length: 4, Data: 129
隐藏文件:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
值:Type: REG_DWORD, Length: 4, Data: 0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
值:Type: REG_DWORD, Length: 4, Data: 0
IK$E+$X+DIK$E$X+D+IK#=EX+D+I+K$E#X+D#=IKEX#DI$=K$E$XD=I$+K$EX#=D=#I$#KE=X#D#IKEX$#D=I
其它方面:
每隔一段时间自动复制副本到c:\WINDOWS\%username%.vbs、c:\WINDOWS\system32\%username%.vbs,并对对注册表作出上面的修改;
整个vbs文件分为好几个模块,在感染的时候会打乱并重新组合这些模块,而模块的名称也会改变;
如果感染的文件超过2000个,则会弹窗对话框:"您已有超过2000个文件被感染!不过请放心,此病毒很容易被清除!请联系418465***-_- !"
监视如下的进程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe" ,发现后就结束之;
c:\WINDOWS\system32\%GetUserName%.ini里面记录了一些数据,包括感染日期,用于日后作出对照。
+=IK+=EX=+DIKE#X#$D+$I+$KE+X#D$IKE#$X$#D#I+$K$E#XDI$+K+E+XD+I$+K=E=#XDIK$E=XD#$I##KE+X
对vbs的了解只能让我分析到这里了,其它的有待vbs达人(某U出来看看啦)分析;
另外不知这个东西会不会被卡巴命名为 Virus.VBS.KillAV.a 呢,哈哈!
KEXD+#I=+KEX#D+=I=+K+EXD$I=KE#=XD=$IK+EXDI=K+EXDI+K+=E$XD+IK=+E$+X#D+I#K#+E$$X#=DI#K
转载请保留声明!
作者dikex(六翼刺猬),原文链接:[url=http://hi.baidu.com/dikex/blog/item/543705f3fabe6f53352acc11.html]http://hi.baidu.com/dikex/blog/item/543705f3fabe6f53352acc11.html[/url]()
[ 本帖最后由 dikex 于 2007-10-31 17:26 编辑 ] |