首页
社区
课程
招聘
[转帖]“暴风一号”VBS病毒完全解密
发表于: 2009-10-14 15:02 9898

[转帖]“暴风一号”VBS病毒完全解密

2009-10-14 15:02
9898
提取并修改的解密函数:

Set F374 = CreateObject("Scripting.Filesystemobject")
Set F8b6 = F374.Opentextfile("D:\VM_Shared\706545925.vbs", 1)
Do Until F8b6.Atendofstream
Ccd4 = Trim(F8b6.Readline)

If Left(Ccd4, 1) = "'" Then
   C169 = A97b(Mid(Ccd4, 2, Len(Ccd4) - 2), Right(Ccd4, 1))
   Randomize
   Afb1 = Int(8 * Rnd + 2)
   A4ae = "'" & A97b(C169, Afb1) & Afb1
Else
   A4ae = Ccd4
A4ae = Af7c(A4ae)
   A4ae = Dd72(A4ae)
End If
Fa6d = Fa6d & C169 & vbCrLf
B056 = B056 & A4ae & vbCrLf

C169 = ""
A4ae = ""

Loop
Set F8b6 = F374.Opentextfile("D:\VM_Shared\706545925_Decrypted.vbs", 2)
F8b6.Write Fa6d
F8b6.Close
Set F374 = Nothing

'Execute Fa6d

Function A97b(Ebe2, Afb1)
For Eb91 = 1 To Len(Ebe2) Step Afb1
    A97b = A97b + StrReverse(Mid(Ebe2, Eb91, Afb1))
Next
End Function
Function Dd72(Ebe2)
Randomize
For Eb91 = 1 To Len(Ebe2)
   B2e4 = Mid(UCase(Ebe2), Eb91, 1)
If Int(Rnd * 2) Then
   B2e4 = LCase(B2e4)
End If
Dd72 = Dd72 & B2e4
Next
End Function
Function Af7c(Ebe2)
Randomize
For Eb91 = 0 To 13
   Ebe2 = Replace(UCase(Ebe2), UCase(Hex(&HF374 + Eb91)), UCase(Hex(Int(Rnd * 24000 + 40960) + Eb91)))
Next
Af7c = Ebe2
End Function

病毒主体(已对代码进行格式化)706545925_Decrypted

原始文件706545925

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 93
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
对于病毒来说这个代码写得很啰嗦,没什么功能,连后台都没有,发布出去就是个死马
该让别人看不懂的地方一点也没有处理 鉴定完毕

你兴趣把这个解出来http://www.cn-dos.net/forum/viewthread.php?tid=39994&fpage=1&highlight=vbs

带后台的,支持远程后台控制VBS更新  支持后台命令让VBS操作你所实现的命令 比如:根据判断进程来下载木马。
这个VBS加了好几层密,全是手动加密 最后一层有点小难度,解完后的原码,你根本看不懂,不花点时间做点笔记根本不知道是什么意思
2009-10-15 00:56
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
3
这个暴风早就被杀了吧?

作者应该还有一个对加密引擎的自动生成程序,没有和病毒结合在一起。

我挺感谢这个病毒的,以前弄vbs都是手工解码,弄这个病毒的时候,学会了直接在IDE里调试,超方便。
2009-10-15 12:46
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
4
这个是那个什么Raider,我以前也是手工解码,挺繁的。
2009-10-15 12:47
0
雪    币: 168
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
非常感谢楼主
2010-3-28 19:19
0
游客
登录 | 注册 方可回帖
返回
//