解剖一个U盘病毒~
ldc 2009-1-21科创茶话
某人拿一U盘给我看,发现了个很诡异的东西~
13362

正愁今天没事干,就解剖解剖这个毒吧。先用PEiD检查,发现是VB5.0/6.0写的,还没加壳。用VBExplorer打开查看字符串,发现一些注册表键值和“Autorun.inf"数据。看来这个病毒也不咋滴,只是修改注册表隐藏真文件夹并把自己伪装成文件夹,顺便加个自动播放感染。
13363

继续深入,发现有一个主窗体MainForm,Visible属性是False,把它改成True,保存。转到虚拟机下,运行这程序。结果病毒窗体原形毕露。看来作者的水平实在不咋滴。
13364

嗯,病毒还有用SendKeys恶意发QQ消息的功能。而且作者还比较YJ...
遍历盘符还用Drive控件,看来作者需要补补API和FSO知识了。但为啥他要把这些字符用Label的形式存放,实在有点想不明白。再看QQ登陆窗口,挺XZ...
13365

发现任务管理器打不开了,嗯,意料之中,之前看到了一个叫“DisableTaskMgr”的键值,就是禁用任务管理器的。
用冰刃结束掉进程,把修改过的注册表数据改回来,虚拟机恢复正常。
解剖结束,遗憾的是没有发现动态域名或者IP地址的字符串,也没有发现病毒连接网络,也就是说这不是一个木马。我原本还打算找出放病毒的人的IP玩弄玩弄他的呢,既然不是木马,解剖到此为止。
-5000  科创币    1211   2009-01-21    纠正过高加分
+10000  科创币    93°   2009-01-21    。。加精就不同了
+2000  科创币    93°   2009-01-21    原创文章
来自 科创茶话
 
2009-1-21 17:35:22
1楼
这种问题在我们学校的电脑也遇到过,因为我们班的电脑被我装了WIN7系统,这个病毒根本没法用,直接就给删了
折叠评论
加载评论中,请稍候...
折叠评论
2楼
正因为如此....我为了避开这种病毒.我打开所有的盘...我都习惯用右键打开....
折叠评论
加载评论中,请稍候...
折叠评论
3楼
这个病毒的窗体怎么这么弱智.并且不做免杀也不加壳,连个插花都没有.估计是整人软件吧
折叠评论
加载评论中,请稍候...
折叠评论
4楼
估计是哪个粗通VB的学生,存一大堆乱字符估计是想吓唬人
折叠评论
加载评论中,请稍候...
折叠评论
ldc(作者)
5楼
怪就怪在这个窗体本来是不显示的,我改了Visible属性后才显示。所有Label控件里的文字都可能在你和别人用QQ聊天时突然发送给对方...实在很囧...
想不明白作者为什么煞有介事地设计一个不可能显示的窗体。
折叠评论
加载评论中,请稍候...
折叠评论
6楼
Label估计是存字符用的。。。  窗体应该是为了编程时候方便   可以用眼睛看见的TForm比TThread要简单的多。。。
折叠评论
加载评论中,请稍候...
折叠评论
2009-1-22 09:47:50
7楼
我会直接用model。。。.NET普及的话直接用线程。。
折叠评论
加载评论中,请稍候...
折叠评论
8楼
用到 Autorun.inf 来起动的都不是什么有水平的了  

反正就是这个样  就是只会下载哪些生成器  

合个垃圾出来吓吓文盲


不过~~~~~是想当浪费我们的时间
折叠评论
加载评论中,请稍候...
折叠评论
9楼
93的头像也这么强大了 [s:233]
折叠评论
加载评论中,请稍候...
折叠评论
10楼
ls要小心了… 话说上次玩鸽子… 加壳加不来…
折叠评论
加载评论中,请稍候...
折叠评论
2009-2-4 23:06:12
2009-2-4 23:06:12
11楼
试试NPSE [s:12]
折叠评论
加载评论中,请稍候...
折叠评论
2009-2-5 18:40:19
12楼
12000KCB!!!!!!!!!!!!


93送钱了!大家快灌水!!!!!!!

啊啊啊啊啊啊!!!啊啊啊啊啊啊啊啊啊啊啊啊啊!!!!!!!!!
折叠评论
加载评论中,请稍候...
折叠评论
13楼
天啊,93,你出手真阔……
折叠评论
加载评论中,请稍候...
折叠评论
14楼

第一:禁止了.自动运行..
第二:封锁了注册表
第三:在主策略里禁止了很多东西
第四:平时不用系统管理员帐户
第六:勤打补丁
第七:不上有"病虫害"的网站
所以就算没有杀毒软件.一般病毒也拿我没办法
+315  科创币    彼岸江山   2009-02-05    精辟
折叠评论
加载评论中,请稍候...
折叠评论
15楼
可以在sandboxie(沙盘)里打开
折叠评论
加载评论中,请稍候...
折叠评论
2009-2-6 12:30:28
16楼
1211又来扣分了
折叠评论
加载评论中,请稍候...
折叠评论
2009-8-13 22:07:38
2009-8-13 22:07:38
17楼
做这毒的八成是想让你解析。。
-100  科创币    phpskycn   2009-08-13    灌水+翻老贴
折叠评论
加载评论中,请稍候...
折叠评论
2014-11-8 16:09:36
2014-11-8 16:09:36
18楼
这是闹着玩吧
折叠评论
加载评论中,请稍候...
折叠评论

想参与大家的讨论?现在就 登录 或者 注册

ID:{{user.uid}}
{{user.username}}
{{user.info.certsName}}
{{user.description}}
{{format("YYYY/MM/DD", user.toc)}}注册,{{fromNow(user.tlv)}}活动
{{submitted?"":"投诉"}}
请选择违规类型:
{{reason.description}}
支持的图片格式:jpg, jpeg, png