解剖一个U盘病毒~
ldc2009/01/21软件综合 IP:湖南
某人拿一U盘给我看,发现了个很诡异的东西~
1.jpg
正愁今天没事干,就解剖解剖这个毒吧。先用PEiD检查,发现是VB5.0/6.0写的,还没加壳。用VBExplorer打开查看字符串,发现一些注册表键值和“XXXXXXXXXXf"数据。看来这个病毒也不咋滴,只是修改注册表隐藏真文件夹并把自己伪装成文件夹,顺便加个自动播放感染。
2.jpg
继续深入,发现有一个主窗体MainForm,Visible属性是False,把它改成True,保存。转到虚拟机下,运行这程序。结果病毒窗体原形毕露。看来作者的水平实在不咋滴。
3.jpg
嗯,病毒还有用SendKeys恶意发QQ消息的功能。而且作者还比较YJ...
遍历盘符还用Drive控件,看来作者需要补补API和FSO知识了。但为啥他要把这些字符用Label的形式存放,实在有点想不明白。再看QQ登陆窗口,挺XZ...
4.jpg
发现任务管理器打不开了,嗯,意料之中,之前看到了一个叫“DisableTaskMgr”的键值,就是禁用任务管理器的。
用冰刃结束掉进程,把修改过的注册表数据改回来,虚拟机恢复正常。
解剖结束,遗憾的是没有发现动态域名或者IP地址的字符串,也没有发现病毒连接网络,也就是说这不是一个木马。我原本还打算找出放病毒的人的IP玩弄玩弄他的呢,既然不是木马,解剖到此为止。
-5000  科创币    1211    2009/01/21 纠正过高加分
+10000  科创币    93°    2009/01/21 。。加精就不同了
+2000  科创币    93°    2009/01/21 原创文章
来自:计算机科学 / 软件综合
18
 
已屏蔽 原因:{{ notice.reason }}已屏蔽
{{notice.noticeContent}}
~~空空如也
ldc 作者
15年5个月前 IP:未同步
62460
怪就怪在这个窗体本来是不显示的,我改了Visible属性后才显示。所有Label控件里的文字都可能在你和别人用QQ聊天时突然发送给对方...实在很囧...
想不明白作者为什么煞有介事地设计一个不可能显示的窗体。
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论

想参与大家的讨论?现在就 登录 或者 注册

所属专业
上级专业
同级专业
ldc
学者 机友 笔友
文章
75
回复
768
学术分
34
2005/10/01注册,12天11时前活动
暂无简介
主体类型:个人
所属领域:无
认证方式:手机号
IP归属地:未同步
文件下载
加载中...
{{errorInfo}}
{{downloadWarning}}
你在 {{downloadTime}} 下载过当前文件。
文件名称:{{resource.defaultFile.name}}
下载次数:{{resource.hits}}
上传用户:{{uploader.username}}
所需积分:{{costScores}},{{holdScores}}下载当前附件免费{{description}}
积分不足,去充值
文件已丢失

当前账号的附件下载数量限制如下:
时段 个数
{{f.startingTime}}点 - {{f.endTime}}点 {{f.fileCount}}
视频暂不能访问,请登录试试
仅供内部学术交流或培训使用,请先保存到本地。本内容不代表科创观点,未经原作者同意,请勿转载。
音频暂不能访问,请登录试试
支持的图片格式:jpg, jpeg, png
插入公式
评论控制
加载中...
文号:{{pid}}
投诉或举报
加载中...
{{tip}}
请选择违规类型:
{{reason.type}}

空空如也

加载中...
详情
详情
推送到专栏从专栏移除
设为匿名取消匿名
查看作者
回复
只看作者
加入收藏取消收藏
收藏
取消收藏
折叠回复
置顶取消置顶
评学术分
鼓励
设为精选取消精选
管理提醒
编辑
通过审核
评论控制
退修或删除
历史版本
违规记录
投诉或举报
加入黑名单移除黑名单
查看IP
{{format('YYYY/MM/DD HH:mm:ss', toc)}}