Administrator.vbs病毒的源码以及分析(5)

第一次发现这个病毒是很久之前在一个同事电脑里,当时我就觉得这个病毒好玩,于是我就把样本存在我邮箱里,之间有一个多月,中此毒者找我帮忙者若干,直到现在,我才有空分析它,现在一般的病毒都是C或delphi写,汇编下重重加壳,底层的东西我也不懂,但这个病毒是VBS的,我有点兴趣,因为好懂:)于是花了一个晚上加一个上午研究它...发现蛮强大的,而病毒作者一直很低调,以致现在版本已经是4了传播广了才被各大杀毒软件查杀.

首先谈谈病毒结构,该病毒是VBS所写,病毒程序由病毒头部+版本号+病毒体+病毒尾部构成,病毒头部为系统登陆用户名,病毒尾部为系统登陆用户名的倒写,病毒体由26个病毒模块组成,每次感染病毒都能自动更换模块名称并自动打乱模块顺序.

其次谈谈病毒的几点搞笑处:第一、成名处:清除A片;第二、病毒可以自我繁衍也可以自我清除;第三,感染文件数有限制,而且会提示...

最后谈谈病毒对系统的操作以及危害(以系统用户名为administrator为例):

一、初始化:
1.获取登录用户名,读取HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed

 Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\Username的值,赋于GetUserName,否则设为Administrator;

2.获取FSO对象名,读取HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}

\ProgID\的值,赋于GetFSOName,否则设为Scripting.FileSystemObject;

3.读配置文件,根据配置文件选择操作,读取C:\WINDOWS\system32\administrator.ini文件第三行的值,如果为Admin则提示你是Admin可以选择管理且不被感染,如果是命令是InfectFiles或其他,则感染,如果是msg则弹出提示,如果是UnLoadMe与KillVirus,则自我清除与清除感染文件.

二、文件改动:

1.生成配置文件:C:\WINDOWS\system32\administrator.ini;

2.复制副本到C:\WINDOWS\administrator.vbs、C:\WINDOWS\system32\administrator.vbs;

3.复制副本到各个分区根目录并在各个分区根目录下生成autorun.inf;

4.搜索扩展名为"hta", "htm", "html","asp","vbs"的文件,并将自身插入到这些文件的头部;

5.删除扩展名为"mpg", "rmvb", "avi", "rm"含有如"administrator.vbs病毒的源码以及分析（上）"中分析的A??片文件.

三、注册表改动:

1.启动加载：
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
值:Type: REG_SZ, Length: 76, Data: C:\WINDOWS\system32\Administrator.vbs

2.修改文件关联：
HKCR\txtfile\shell\open\command\(Default)
值：Type: REG_EXPAND_SZ, Length: 144, Data: %SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* 
HKCR\regfile\shell\open\command\(Default)
值：Type: REG_EXPAND_SZ, Length: 144, Data: %SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* 
HKCR\chm.file\shell\open\command\(Default)
值：Type: REG_EXPAND_SZ, Length: 144, Data: %SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* 
HKCR\hlpfile\shell\open\command\(Default)
值：Type: REG_EXPAND_SZ, Length: 144, Data: %SystemRoot%\System32\WScript.exe "C:\WINDOWS\Administrator.vbs" %1 %* 

3.隐藏文件:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
值：Type: REG_DWORD, Length: 4, Data: 0
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
值：Type: REG_DWORD, Length: 4, Data: 0

4.打开自动播放:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
值：Type: REG_DWORD, Length: 4, Data: 129

四、进程监控:

1.监视如下的进程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe"

, "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe" ,发现了就结束之;

2.监视以上文件改动与注册表改动,如果文件被删除或者注册表被恢复,则继续重新感染.

参考:
http://hi.baidu.com/spoo/blog/item/a06efbcd0dbe58520fb345ab.html

http://cache.baidu.com/c?word=wscript%3B%2E%3Bscript%3Bname&url=http%3A//blog%2E

phpwind%2Enet/article%2Dhtm%2Duid%2D445972%2Ditemid%2D58330%2Ehtml&p=99759a45d1860afc57ec9626484ac6&user=baidu