博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
【病毒分析】对一个vbs脚本病毒的分析
阅读量:5864 次
发布时间:2019-06-19

本文共 1091 字,大约阅读时间需要 3 分钟。

【病毒分析】对一个vbs脚本病毒的分析

本文来源:

一、前言

病毒课老师丢给我们一份加密过的vbs脚本病毒的代码去尝试分析,这里把分析过程发出来,供大家参考,如果发现文中有什么错误或者是有啥建议,可以直接留言给我,谢谢!

二、目录
整个分析过程可以分为以下几个部分:
   0x00 准备工作
   0x01 解密部分
   0x02 功能分析
三、分析过程
0x00 准备工作
windows xp的虚拟机(在自己的windows下也可以做)
vbs的一些基本语法
0x01 解密部分
右击病毒文件然后编辑打开或者是直接把其后缀修改成txt直接打开都行,可以看到一大段密文,并调用了一个函数deCrypt。暂时只看到这些,那么接着往下看吧。
 
 
拖到代码底部,发现有deCrypt了一次,也就是经过了两次加密,这里把执行部分注释掉,然后将解密的结果输出到文本文件中去。另外,可以看到是用base64进行的加密的。
 
现在来看看解码后的结果。发现依旧是不可阅读的代码,那就继续看看他是怎么处理的吧。
 
这里可以看到是将之前的字符串按“|dz|”划分,然后得到的是ascii码,将这些ascii码对应的字符拼接起来就好了,就得到了结果。同样的套路将解密结果输出到文件中去再继续分析。
 
 
然后这次得到的结果是真正的病毒代码了。接下来对他的功能进行分析。
 
0x02 功能分析
从头开始看吧。显示一些配置信息,包括了服务器的域名。可以查到服务器是美国的,尝试ping了下,ping不通,可能是服务器作了设置不让人ping、也可能是服务器已经不用了、也有可能是我国的防火长城直接墙掉了。。。
 
 
然后是一些之后要用到的变量,这里不作过多的解释。
 
之后就是code start的部分了。然后由于里面调用了各种函数,所以这里按执行的顺序给调用的函数编号,以便阅读,不然会感觉很凌乱的。
这里先是调用了instance函数。
 
1.instance函数
给之前的一个参数usbspreading赋值,并对注册表进行写操作
 
在执行完了instance函数后,会进入一个while true的死循环,不断从服务器读取命令,然后执行。在进入while里面后,先是调用install过程。
2.install过程
install中,又调用了upstart,再进去看看。
 

...............................................................................................................略,

查看全文请看这里》》》》》》》原文地址:

转载地址:http://vrunx.baihongyu.com/

你可能感兴趣的文章
论Postgres的“已提交的而且 xmin’比当前事务的XID小的记录对当前事务才是可见的”...
查看>>
windows中最重要的三个动态链接库及功能
查看>>
如何分析性能测试需求
查看>>
20145229吴姗珊《Java程序设计》第二周学习总结
查看>>
铅酸蓄电池正确使用与充电管理
查看>>
关于DropDownList
查看>>
用eclipse编写Hadoop程序
查看>>
JS-元素大小深入学习-offset、client、scroll等学习研究笔记
查看>>
作业五 :团队项目准备素材搜集
查看>>
转 博弈类题目小结(hdu,poj,zoj)
查看>>
Team Project Specification–IP Domain search tool
查看>>
mk、cd、pwd、ls、touch、vi、cat、cp、mv的使用及命令快捷方式
查看>>
关于指针的传值与传址
查看>>
关于int main(int argc,char* argv[])详解
查看>>
SIGSEGV 和 SIGBUS & gdb看汇编
查看>>
CSS布局
查看>>
Model
查看>>
第五周 IP通信基础回顾
查看>>
Java NIO学习笔记八 Pipe
查看>>
legend---十一、thinkphp事务中if($ans1&&$ans2){}else{}方式和try{}catch{}方式事务操作的区别在哪里...
查看>>