吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 18529|回复: 22
收起左侧

[PC样本分析] 1KB病毒分析带杀毒脚本

[复制链接]
暴龙兽 发表于 2019-5-16 14:22
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 暴龙兽 于 2019-5-16 14:38 编辑

序言

想起以前做实验的时候,机房电脑感染1KB病毒, U盘中的文件出现全部成为了快捷方式. 这几天做病毒分析, 心血来潮那1KB病毒来开刀.

病毒总览

注册表

/*开机运行*/
HKCU\Software\Microsoft\Windows\CurrentVersion\Run = \
C:\WINDOWS\system32\cmd.exe /c start wscript  /e:VBScript %temp%\SysinfY2X.db
/*修改文件显示选项,不显示隐藏文件*/
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2

对文件操作

查找系统中驱动器的个数,对除了C盘之外之的其他盘进行感染. 感染的方式很简单, 拷贝SysinfY2X.db, 所有文件设置为隐藏文件,创建一个指向原文件夹的快捷方式, 快捷方式的一些属性

targetPath = "cmd.exe"
argument = /c start wscript /e:VBScript.Encode Manuel.doc & start explorer 文件/子文夹 & exit

这样,点击任何一个快捷方式, 直接触发又一次的传播.

网络行为

http://realy.mooo.com/bot/lancer/index.php?cmd=命令进行交互, 这个网站已经挂了.

病毒运行过程

首先修改注册表, 将恶意文件保存在tmp目录下, 创建一个新进程运行恶意文件, 本身退出,新进程接着就会做上述行为.

弱点

这个病毒也有弱点, 只会在根目录下创建快捷方式, 不会递归的创建快捷方式, 着实有点缺心眼.

杀毒

首先在进程管理器中,停止wscript进程, 然后修改注册表, 删除快捷方式.

import os, psutil, win32api, win32con
import winshell

def killProc(name):
    for p in psutil.process_iter(attrs=['name', 'pid']):
        if p.info['name'] == name:
            proc = psutil.Process(p.info['pid'])
            proc.terminate()

def isLNK(fileName):
    fName = fileName.split('.', -1)
    if 'lnk' == fName[len(fName) - 1]:
        return True
    else:
        return False
def modifiedOnlyRead(path):
    files = os.listdir(path)
    for i in xrange(len(files)):
        p = os.path.join(path, files[i])
        try:
            win32api.SetFileAttributes(p, win32con.FILE_ATTRIBUTE_NORMAL)
        except win32api.error:
            pass
        finally:
            pass

def deleteFile(path):
    modifiedOnlyRead(path)
    files = os.listdir(path)
    for i in xrange(len(files)):
        p = os.path.join(path, files[i])
        if isLNK(files[i]):
            link = winshell.shortcut(p)
            if ("cmd.exe" in link.path and "Manuel.doc" in link.arguments):
                os.remove(p)
            else:
                pass
        elif "Manuel.doc" == files[i]:
            os.remove(p)
def modifyReg():
    run = win32api.RegOpenKey(win32con.HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, win32con.KEY_ALL_ACCESS)
    try:
        SysinfY2X = win32api.RegQueryValueEx(run, "SysinfY2X")
        if "SysinfY2X.db" in SysinfY2X[0]:
            win32api.RegDeleteValue(run, "SysinfY2X")
        else:
            pass
    except win32api.error:
        print "no registry entry"
    finally:
        win32api.RegCloseKey(run)
    Advanced = win32api.RegOpenKey(win32con.HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced", 0, win32con.KEY_ALL_ACCESS)
    try:
        hidden = win32api.RegQueryValueEx(Advanced, "Hidden")
        if 2 == hidden[0]:
            win32api.RegSetValueEx(Advanced, "Hidden", 0, win32con.REG_DWORD, 1)
        else:
            print "Modified"
    except win32api.error:
        print "no registry entry"
    finally:
        win32api.RegCloseKey(Advanced)

killProc("wscript.exe")
killProc("cscript.exe")
deleteFile('E:\\') # U disk
modifyReg()

吐槽

vbs能够在U盘里面创建文件,却不能删除文件,着实奇怪。

GITHUB

1KB 源码

免费评分

参与人数 14威望 +1 吾爱币 +16 热心值 +12 收起 理由
风清墨 + 1 + 1 用心讨论,共获提升!
qian_tong + 1 用心讨论,共获提升!
geeker666 + 1 用心讨论,共获提升!
沐春 + 1 + 1 热心回复!
fei8255 + 1 + 1 用心讨论,共获提升!
lookerJ + 1 我很赞同!
隰则有泮 + 1 我很赞同!
longlong2177 + 1 + 1 recycle,有点怀念
zhfan + 1 + 1 我很赞同!
willJ + 1 + 6 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
itmaple + 1 热心回复!
wisoft + 1 + 1 用心讨论,共获提升!
笙若 + 1 + 1 谢谢@Thanks!
醉酒西门后 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

晓源 发表于 2019-5-19 12:29
zry911 发表于 2019-5-16 22:43
请问朋友这个病毒如何在不重装系统的情况下,如何清除?

装个火绒杀一下就可以了     如果你能在进程发现罪魁祸首呢 就进去文件夹删掉完事  
zry911 发表于 2019-5-16 22:43
晓源 发表于 2019-5-16 19:20
前段时间在公司就中了这玩意  搞了好久才清除  主要是 对于那些不知道的人点了文件夹就完蛋

请问朋友这个病毒如何在不重装系统的情况下,如何清除?
躲在角落看繁华 发表于 2019-5-16 14:31
依稀记得很早之前,插U盘到某个打印社出来 必定会出现所有文件夹被隐藏,出现一个和文件夹同名的EXE文件,异曲同工啊
 楼主| 暴龙兽 发表于 2019-5-16 14:39
躲在角落看繁华 发表于 2019-5-16 14:31
依稀记得很早之前,插U盘到某个打印社出来 必定会出现所有文件夹被隐藏,出现一个和文件夹同名的EXE文件, ...

很早以前的事了, vbs确实挺有用的
六I六T 发表于 2019-5-16 15:03
U盘最容易中这病毒
zggxggs 发表于 2019-5-16 15:30
杀毒脚本怎么用啊?单位内网最多这个病毒了
 楼主| 暴龙兽 发表于 2019-5-16 15:42
我这边是通过了,deletefileFile函数的参数改成U盘的根目录,还需要装一些python库
wuzhijin 发表于 2019-5-16 15:47
vbs确实挺有用的
wjh 发表于 2019-5-16 16:51
学习了,感谢分享,谢谢~
晓源 发表于 2019-5-16 19:20
前段时间在公司就中了这玩意  搞了好久才清除  主要是 对于那些不知道的人点了文件夹就完蛋  
onetwo931 发表于 2019-5-16 19:38
病毒太多,杀不过来了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 15:58

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表