1KB病毒分析带杀毒脚本

暴龙兽 · 发表于 2019-5-16 14:22

本帖最后由暴龙兽于 2019-5-16 14:38 编辑

序言

想起以前做实验的时候，机房电脑感染1KB病毒, U盘中的文件出现全部成为了快捷方式. 这几天做病毒分析, 心血来潮那1KB病毒来开刀.

病毒总览

注册表

/*开机运行*/
HKCU\Software\Microsoft\Windows\CurrentVersion\Run = \
C:\WINDOWS\system32\cmd.exe /c start wscript  /e:VBScript %temp%\SysinfY2X.db
/*修改文件显示选项，不显示隐藏文件*/
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2

对文件操作

查找系统中驱动器的个数，对除了C盘之外之的其他盘进行感染. 感染的方式很简单, 拷贝SysinfY2X.db, 所有文件设置为隐藏文件，创建一个指向原文件夹的快捷方式, 快捷方式的一些属性

targetPath = "cmd.exe"
argument = /c start wscript /e:VBScript.Encode Manuel.doc & start explorer 文件/子文夹 & exit

这样，点击任何一个快捷方式, 直接触发又一次的传播.

网络行为

与http://realy.mooo.com/bot/lancer/index.php?cmd=命令进行交互, 这个网站已经挂了.

病毒运行过程

首先修改注册表, 将恶意文件保存在tmp目录下, 创建一个新进程运行恶意文件, 本身退出,新进程接着就会做上述行为.

弱点

这个病毒也有弱点, 只会在根目录下创建快捷方式, 不会递归的创建快捷方式, 着实有点缺心眼.

杀毒

首先在进程管理器中，停止wscript进程, 然后修改注册表, 删除快捷方式.

import os, psutil, win32api, win32con
import winshell

def killProc(name):
    for p in psutil.process_iter(attrs=['name', 'pid']):
        if p.info['name'] == name:
            proc = psutil.Process(p.info['pid'])
            proc.terminate()

def isLNK(fileName):
    fName = fileName.split('.', -1)
    if 'lnk' == fName[len(fName) - 1]:
        return True
    else:
        return False
def modifiedOnlyRead(path):
    files = os.listdir(path)
    for i in xrange(len(files)):
        p = os.path.join(path, files[i])
        try:
            win32api.SetFileAttributes(p, win32con.FILE_ATTRIBUTE_NORMAL)
        except win32api.error:
            pass
        finally:
            pass

def deleteFile(path):
    modifiedOnlyRead(path)
    files = os.listdir(path)
    for i in xrange(len(files)):
        p = os.path.join(path, files[i])
        if isLNK(files[i]):
            link = winshell.shortcut(p)
            if ("cmd.exe" in link.path and "Manuel.doc" in link.arguments):
                os.remove(p)
            else:
                pass
        elif "Manuel.doc" == files[i]:
            os.remove(p)
def modifyReg():
    run = win32api.RegOpenKey(win32con.HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, win32con.KEY_ALL_ACCESS)
    try:
        SysinfY2X = win32api.RegQueryValueEx(run, "SysinfY2X")
        if "SysinfY2X.db" in SysinfY2X[0]:
            win32api.RegDeleteValue(run, "SysinfY2X")
        else:
            pass
    except win32api.error:
        print "no registry entry"
    finally:
        win32api.RegCloseKey(run)
    Advanced = win32api.RegOpenKey(win32con.HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced", 0, win32con.KEY_ALL_ACCESS)
    try:
        hidden = win32api.RegQueryValueEx(Advanced, "Hidden")
        if 2 == hidden[0]:
            win32api.RegSetValueEx(Advanced, "Hidden", 0, win32con.REG_DWORD, 1)
        else:
            print "Modified"
    except win32api.error:
        print "no registry entry"
    finally:
        win32api.RegCloseKey(Advanced)

killProc("wscript.exe")
killProc("cscript.exe")
deleteFile('E:\\') # U disk
modifyReg()

吐槽

vbs能够在U盘里面创建文件，却不能删除文件，着实奇怪。

GITHUB

1KB 源码

晓源 · 发表于 2019-5-19 12:29

zry911 发表于 2019-5-16 22:43
请问朋友这个病毒如何在不重装系统的情况下，如何清除？

装个火绒杀一下就可以了如果你能在进程发现罪魁祸首呢就进去文件夹删掉完事

zry911 · 发表于 2019-5-16 22:43

晓源发表于 2019-5-16 19:20
前段时间在公司就中了这玩意搞了好久才清除主要是对于那些不知道的人点了文件夹就完蛋

请问朋友这个病毒如何在不重装系统的情况下，如何清除？

躲在角落看繁华 · 发表于 2019-5-16 14:31

依稀记得很早之前，插U盘到某个打印社出来必定会出现所有文件夹被隐藏，出现一个和文件夹同名的EXE文件，异曲同工啊

暴龙兽 · 发表于 2019-5-16 14:39

躲在角落看繁华发表于 2019-5-16 14:31
依稀记得很早之前，插U盘到某个打印社出来必定会出现所有文件夹被隐藏，出现一个和文件夹同名的EXE文件， ...

很早以前的事了, vbs确实挺有用的

六I六T · 发表于 2019-5-16 15:03

U盘最容易中这病毒

zggxggs · 发表于 2019-5-16 15:30

杀毒脚本怎么用啊？单位内网最多这个病毒了

暴龙兽 · 发表于 2019-5-16 15:42

我这边是通过了，deletefileFile函数的参数改成U盘的根目录，还需要装一些python库

wuzhijin · 发表于 2019-5-16 15:47

vbs确实挺有用的

wjh · 发表于 2019-5-16 16:51

学习了，感谢分享，谢谢~

晓源 · 发表于 2019-5-16 19:20

前段时间在公司就中了这玩意搞了好久才清除主要是对于那些不知道的人点了文件夹就完蛋

onetwo931 · 发表于 2019-5-16 19:38

病毒太多，杀不过来了

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 1KB病毒分析带杀毒脚本

序言

病毒总览

病毒运行过程

弱点

杀毒

吐槽

GITHUB

免费评分