一���、前言
病毒課老師丟給我們一份加密過的vbs腳本病毒的代碼去嘗試分析,這里把分析過程發出來,供大家參考
二��、目錄
整個分析過程可以分為以下幾個部分:
0x00 準備工作
0x01 解密部分
0x02 功能分析
三�����、分析過程
0x00 準備工作
windows xp的虛擬機(在自己的windows下也可以做)
vbs的一些基本語法
0x01 解密部分
右擊病毒文件然后編輯打開或者是直接把其后綴修改成txt直接打開都行,可以看到一大段密文,并調用了一個函數deCrypt�����。暫時只看到這些,那么接著往下看吧�。
拖到代碼底部,發現有deCrypt了一次,也就是經過了兩次加密,這里把執行部分注釋掉,然后將解密的結果輸出到文本文件中去�����。另外,可以看到是用base64進行的加密的���。
現在來看看解碼后的結果���。發現依舊是不可閱讀的代碼,那就繼續看看他是怎么處理的吧���。
這里可以看到是將之前的字符串按“|dz|”劃分,然后得到的是ascii碼,將這些ascii碼對應的字符拼接起來就好了,就得到了結果��。同樣的套路將解密結果輸出到文件中去再繼續分析�����。
然后這次得到的結果是真正的病毒代碼了����。接下來對他的功能進行分析����。
0x02 功能分析
從頭開始看吧���。顯示一些配置信息,包括了服務器的域名��??梢圆榈椒掌魇敲绹?嘗試ping了下,ping不通,可能是服務器作了設置不讓人ping�����、也可能是服務器已經不用了�����、也有可能是我國的防火長城直接墻掉了�。�。���。
然后是一些之后要用到的變量,這里不作過多的解釋�����。
之后就是code start的部分了���。然后由于里面調用了各種函數,所以這里按執行的順序給調用的函數編號,以便閱讀,不然會感覺很凌亂的����。
這里先是調用了instance函數���。
1.instance函數
給之前的一個參數usbspreading賦值,并對注冊表進行寫操作
在執行完了instance函數后,會進入一個while true的死循環,不斷從服務器讀取命令,然后執行�。在進入while里面后,先是調用install過程�。
2.install過程
在install中,又調用了upstart,再進去看看�����。
2.1 upstart過程
這里通過注冊表將病毒腳本設置成開機自啟動�。
然后從upstart過程出來繼續看看install剩下的代碼,有點多,直接把功能告訴大家�。
掃描所有的驅動,如果類型號是1,會有所動作,為1時代表可移動設備,這是想感染優盤之類的可移動設備���。它將腳本拷貝到可移動設備的根目錄下,然后設置文件屬性,2為隱藏文件,可讀寫,4為系統文件,可讀寫����。
然后獲取可移動設備根目錄所有的文件,如果不是lnk文件, 將其設置為隱藏的系統文件,可讀寫�����。然后創建相應的快捷方式,其指向的程序是cmd.exe,其參數是"/c start " & replace(installname," ", chrw(34) & " " & chrw(34)) & "&start " & replace(file.name," ", chrw(34) & " " & chrw(34)) &"&exit",意思是點擊該快捷方式后會先啟動那個腳本病毒,然后再啟動真正的文件,之后退出cmd���。
然后對根目錄下的文件夾作同樣的操作���。至此,對子程序install的分析到此結束,接下來分析函數程序post�。
3.post函數
可以看到post的功能是發送被感染機器的相關信息到服務器并從服務器獲取病毒制作者的命令數據�����。在里面有調用了函數information以獲取被感染機的相關信息,再看下它是怎么實現的��。
3.1 information函數
information函數用來獲取硬盤序列號�����、系統相關信息和電腦上安裝的安全軟件��。
現在從post函數中執行完出來,得到服務器的命令����。然后就是對命令的解析執行,接下來是一個vbs中switch...case...的結構,來對不同的命令解析執行����。
4.對各種命令的解析執行
4.1 execute命令
這里直接執行接收到的命令
4.2 update命令
這里是從服務器上獲取數據來更新病毒
4.3 uninstall命令
調用uninstall過程來將病毒之前對注冊表作的修改恢復,并將之前復制到其他幾個目錄下的病毒腳本刪除��。
4.4 send命令
調用download過程從服務器下載文件
4.5 site-send命令
這個調用sitedownloader過程,同樣從服務器上下載東西,不過這個下載的貌似是網站源碼之類的��。�����。��。
4.6 recv命令
調用upload函數,上傳指定的文件�。
4.7 enum-driver���、enum-faf�����、enum-process命令
分別調用相應的函數,以獲取枚舉所有的驅動器相關信息�����、指定目錄下的所有文件和文件夾以及系統的所有進程
4.8 cmd-shell命令
這里調用cmdshell函數執行接收的到cmd命令,并將命令結果獲取傳回服務器��。
4.9 delete命令
調用過程deletefaf刪除指定的文件或文件夾
4.10 exit-process命令
調用exitprocess來結束指定的進程
4.11 sleep命令
設置腳本的睡眠時間
到此對所有的命令都解析完畢了,在執行了相應的命令后,病毒會睡眠指定的時間,再繼續從服務器獲取命令��。
四���、總結
這里對之前的分析進行下總結吧,總結通過這次分析所學:
1.先是對base64編碼的學習,實際分析中不需要知道實現細節,至少要會用吧���。
2.vbs的學習�����。
3.通過設置注冊表來設置指定程序的自啟動�����。
4.基本的調試能力,對于晦澀難懂的代碼部分,把結果輸出來會理解得更快�。
然后在試驗中還對病毒進行了清楚,我的方法是直接截取一段密文然后進行搜索,包含該字段的vbs文件就給刪掉,這樣注冊表是沒有修改過來的,不過要自啟動的文件已經被刪掉了,所以沒關系���。還有一種方法是把病毒中uninstall模塊拿出來,單獨調用,把所有修改都恢復����。
然后,這次可以看到該病毒通過vbs實現了與服務器進行通信���、修改文件系統�、修改注冊表等等的操作�����。使用其他的語言同樣可以實現,自己覺得可能是因為大部分windows都有vbs的解釋器,易于傳播,并且vbs易學,病毒作者選用他來編寫��??傊?不同的語言都有自己的特點吧,關鍵要看其優點是否和自己的需求相契合吧����。
感謝各位的閱讀!關于“vbs腳本病毒的示例分析”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,讓大家可以學到更多知識,如果覺得文章不錯,可以把它分享出去讓更多的人看到吧!
