-
-
[旧帖]
[原创]风暴一号病毒解密过程
0.00雪花
-
发表于:
2014-9-15 10:20
1880
-
[旧帖] [原创]风暴一号病毒解密过程
0.00雪花
这几天刚刚分析了风暴一号这个病毒,风暴一号的行为网上已经可以搜到很多资料,自己在虚拟机上也可以观察出来,源码解释网上也有很多,但是拿到样本,碰到的第一件事情却是这个样本加密了,打开全是不能看的代码。现在在这里分享一下我的解密过程。打开样本的时候,发现都是注释,只有一处没有,那就是excute()这个函数,解密就是从这里开始啦!
第一,新建一个1.txt文本,将excute()这个函数完整的复制过来。
第二,改动excute函数。将set adc4=a9cF.opentextfile(wsript.scriptfullname,1)中的"wscript.scriptfullname"改成你样本的完整路径。然后再把 execute fda6这句话删掉,删掉后,在原来的地方添上:set fso=createobject("scripting.filesystemobject") :set ws=fso.opentextfile("c:\明文.txt",2,true):ws.write( fda6 ),其中"C:\明文.txt"是你想将明文输出的地方,自己选择就行。
第三:将1.txt改成1.vbs,双击运行,此时在"C:\明文.txt"就会看到风暴一号这个病毒的真正源码啦!
【注意】vbs加密是,经常是将多个语句用“:”连接起来,迷惑读者,把代码弄的很长;还有就是几层双引号的问题。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课