怪就怪在这个窗体本来是不显示的,我改了Visible属性后才显示。所有Label控件里的文字都可能在你和别人用QQ聊天时突然发送给对方...实在很囧...
想不明白作者为什么煞有介事地设计一个不可能显示的窗体。
想不明白作者为什么煞有介事地设计一个不可能显示的窗体。
11134
%7B%22isLastPage%22%3Atrue%2C%22notes%22%3A%5B%5D%2C%22pid%22%3A%22t11134%22%2C%22tid%22%3A%2211134%22%2C%22mainForumsId%22%3A%5B%22134%22%5D%2C%22categoriesId%22%3A%5B%5D%2C%22tcId%22%3A%5B%5D%7D
%7B%22isEditMode%22%3Afalse%7D
解剖一个U盘病毒~
某人拿一U盘给我看,发现了个很诡异的东西~
![1.jpg]()
正愁今天没事干,就解剖解剖这个毒吧。先用PEiD检查,发现是VB5.0/6.0写的,还没加壳。用VBExplorer打开查看字符串,发现一些注册表键值和“XXXXXXXXXXf"数据。看来这个病毒也不咋滴,只是修改注册表隐藏真文件夹并把自己伪装成文件夹,顺便加个自动播放感染。
![2.jpg]()
继续深入,发现有一个主窗体MainForm,Visible属性是False,把它改成True,保存。转到虚拟机下,运行这程序。结果病毒窗体原形毕露。看来作者的水平实在不咋滴。
![3.jpg]()
嗯,病毒还有用SendKeys恶意发QQ消息的功能。而且作者还比较YJ...
遍历盘符还用Drive控件,看来作者需要补补API和FSO知识了。但为啥他要把这些字符用Label的形式存放,实在有点想不明白。再看QQ登陆窗口,挺XZ...
![4.jpg]()
发现任务管理器打不开了,嗯,意料之中,之前看到了一个叫“DisableTaskMgr”的键值,就是禁用任务管理器的。
用冰刃结束掉进程,把修改过的注册表数据改回来,虚拟机恢复正常。
解剖结束,遗憾的是没有发现动态域名或者IP地址的字符串,也没有发现病毒连接网络,也就是说这不是一个木马。我原本还打算找出放病毒的人的IP玩弄玩弄他的呢,既然不是木马,解剖到此为止。
正愁今天没事干,就解剖解剖这个毒吧。先用PEiD检查,发现是VB5.0/6.0写的,还没加壳。用VBExplorer打开查看字符串,发现一些注册表键值和“XXXXXXXXXXf"数据。看来这个病毒也不咋滴,只是修改注册表隐藏真文件夹并把自己伪装成文件夹,顺便加个自动播放感染。
继续深入,发现有一个主窗体MainForm,Visible属性是False,把它改成True,保存。转到虚拟机下,运行这程序。结果病毒窗体原形毕露。看来作者的水平实在不咋滴。
嗯,病毒还有用SendKeys恶意发QQ消息的功能。而且作者还比较YJ...
遍历盘符还用Drive控件,看来作者需要补补API和FSO知识了。但为啥他要把这些字符用Label的形式存放,实在有点想不明白。再看QQ登陆窗口,挺XZ...
发现任务管理器打不开了,嗯,意料之中,之前看到了一个叫“DisableTaskMgr”的键值,就是禁用任务管理器的。
用冰刃结束掉进程,把修改过的注册表数据改回来,虚拟机恢复正常。
解剖结束,遗憾的是没有发现动态域名或者IP地址的字符串,也没有发现病毒连接网络,也就是说这不是一个木马。我原本还打算找出放病毒的人的IP玩弄玩弄他的呢,既然不是木马,解剖到此为止。
ldc
学者 机友 笔友
学者 机友 笔友
200字以内,仅用于支线交流,主线讨论请采用回复功能。