1KB病毒分析带杀毒脚本
本帖最后由 暴龙兽 于 2019-5-16 14:38 编辑### 序言
> 想起以前做实验的时候,机房电脑感染`1KB`病毒, `U`盘中的文件出现全部成为了快捷方式. 这几天做病毒分析, 心血来潮那`1KB`病毒来开刀.
### 病毒总览
*注册表*
```
/*开机运行*/
HKCU\Software\Microsoft\Windows\CurrentVersion\Run = \
C:\WINDOWS\system32\cmd.exe /c start wscript/e:VBScript %temp%\SysinfY2X.db
/*修改文件显示选项,不显示隐藏文件*/
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2
```
*对文件操作*
> 查找系统中驱动器的个数,对除了C盘之外之的其他盘进行感染. 感染的方式很简单, 拷贝`SysinfY2X.db`, 所有文件设置为隐藏文件,创建一个指向原文件夹的快捷方式, 快捷方式的一些属性
```
targetPath = "cmd.exe"
argument = /c start wscript /e:VBScript.Encode Manuel.doc & start explorer 文件/子文夹 & exit
```
> 这样,点击任何一个快捷方式, 直接触发又一次的传播.
*网络行为*
> 与`http://realy.mooo.com/bot/lancer/index.php?cmd=命令`进行交互, 这个网站已经挂了.
### 病毒运行过程
> 首先修改注册表, 将恶意文件保存在`tmp`目录下, 创建一个新进程运行恶意文件, 本身退出,新进程接着就会做上述行为.
### 弱点
> 这个病毒也有弱点, 只会在根目录下创建快捷方式, 不会递归的创建快捷方式, 着实有点缺心眼.
### 杀毒
> 首先在进程管理器中,停止`wscript`进程, 然后修改注册表, 删除快捷方式.
```
import os, psutil, win32api, win32con
import winshell
def killProc(name):
for p in psutil.process_iter(attrs=['name', 'pid']):
if p.info['name'] == name:
proc = psutil.Process(p.info['pid'])
proc.terminate()
def isLNK(fileName):
fName = fileName.split('.', -1)
if 'lnk' == fName:
return True
else:
return False
def modifiedOnlyRead(path):
files = os.listdir(path)
for i in xrange(len(files)):
p = os.path.join(path, files)
try:
win32api.SetFileAttributes(p, win32con.FILE_ATTRIBUTE_NORMAL)
except win32api.error:
pass
finally:
pass
def deleteFile(path):
modifiedOnlyRead(path)
files = os.listdir(path)
for i in xrange(len(files)):
p = os.path.join(path, files)
if isLNK(files):
link = winshell.shortcut(p)
if ("cmd.exe" in link.path and "Manuel.doc" in link.arguments):
os.remove(p)
else:
pass
elif "Manuel.doc" == files:
os.remove(p)
def modifyReg():
run = win32api.RegOpenKey(win32con.HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, win32con.KEY_ALL_ACCESS)
try:
SysinfY2X = win32api.RegQueryValueEx(run, "SysinfY2X")
if "SysinfY2X.db" in SysinfY2X:
win32api.RegDeleteValue(run, "SysinfY2X")
else:
pass
except win32api.error:
print "no registry entry"
finally:
win32api.RegCloseKey(run)
Advanced = win32api.RegOpenKey(win32con.HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced", 0, win32con.KEY_ALL_ACCESS)
try:
hidden = win32api.RegQueryValueEx(Advanced, "Hidden")
if 2 == hidden:
win32api.RegSetValueEx(Advanced, "Hidden", 0, win32con.REG_DWORD, 1)
else:
print "Modified"
except win32api.error:
print "no registry entry"
finally:
win32api.RegCloseKey(Advanced)
killProc("wscript.exe")
killProc("cscript.exe")
deleteFile('E:\\') # U disk
modifyReg()
```
### 吐槽
> `vbs`能够在`U`盘里面创建文件,却不能删除文件,着实奇怪。
### GITHUB
(https://github.com/BBS-Bill-Gates/malware/tree/master/1KB)
zry911 发表于 2019-5-16 22:43
请问朋友这个病毒如何在不重装系统的情况下,如何清除?
装个火绒杀一下就可以了 如果你能在进程发现罪魁祸首呢 就进去文件夹删掉完事 晓源 发表于 2019-5-16 19:20
前段时间在公司就中了这玩意搞了好久才清除主要是 对于那些不知道的人点了文件夹就完蛋
请问朋友这个病毒如何在不重装系统的情况下,如何清除? 依稀记得很早之前,插U盘到某个打印社出来 必定会出现所有文件夹被隐藏,出现一个和文件夹同名的EXE文件,异曲同工啊{:301_1009:} 躲在角落看繁华 发表于 2019-5-16 14:31
依稀记得很早之前,插U盘到某个打印社出来 必定会出现所有文件夹被隐藏,出现一个和文件夹同名的EXE文件, ...
很早以前的事了, vbs确实挺有用的 U盘最容易中这病毒 杀毒脚本怎么用啊?单位内网最多这个病毒了 我这边是通过了,deletefileFile函数的参数改成U盘的根目录,还需要装一些python库 vbs确实挺有用的 学习了,感谢分享,谢谢~ 前段时间在公司就中了这玩意搞了好久才清除主要是 对于那些不知道的人点了文件夹就完蛋 病毒太多,杀不过来了