对一个皇冠即时走地病毒的病毒原理分析_vbs

一、引语

病毒课男教员丢给人们一份编密码过的皇冠即时走地病毒的法典去尝试剖析,上面是剖析追逐。,供大伙儿涉及,或许你获得知识课文中有什么认不出,或许你的提议是什么?,你可以立即给我留言。,致谢!

二、篇目

全部剖析追逐可分为以下各自的切开。

0x00 非直接性生产任务
0x01 解密切开
0x02 效能剖析

三、剖析追逐

0x00 非直接性生产任务

windows XP的虚拟机(也可以在本身的Windows下抛光)

VBS的根本表现

0x01 解密切开

右击病毒包装,将其剪辑翻开或立即修正为TXT。,你可以见宽大的密文。,并恳求有或起作用解密。。刚要临时性的。,于是往下看。。

阻力到法典生根,我可能性获得知识过解密。,更确切地说,由于两遍编密码不久以后。,在在这里,正文表演切开。,于是将解密水果输入到文本包装。。而且,可以看出,它是用Base64编密码的。。

如今让人们看一眼解码后的水果。。查找依然不可读的法典,于是让人们看一眼他是方式处置的。。

您可以见,前本人字母串是由z dz断裂的。,于是获取ASCII法典。,拼接这些ASCII码的对应要点是大好的。,人们开腰槽了水果。。势均力敌的的例程将解密水果输入到包装持续举行。。

水果是真正的病毒法典。。其次,剖析其效能。。

0x02 效能剖析

从初期的就着手。。显示稍微配备通讯,容纳服务业的区名。。可以获得知识服务业是美国的。,试试平。,ping不克不及面试,或许曾经设置了服务业来免于平。、也可能性是不再询问服务业。、也有可能性是我国的耐火中国长城电脑集团公司立即墙掉了。。。

于是有稍微变量将在不久以后应用。,在这里缺席这样的解说。。

不久以后执意法典。 开端的一切开。。于是恳求各式各样的有或起作用。,因而在这里人们称之为表演挨次的有或起作用。,为了看见,不然,会觉得很乱。。

在这里人们先恳求判例有或起作用。。

有或起作用

将决定因素扩展到前本人。,并写船舶的国籍。

在表演判例效能不久以后,将进入一段时期 真死圈,持续从服务业读取命令,于是表演。使狂喜后,率先恳求登上追逐。。

追逐

登上中,也高处雨后蘑菇似的。,再看一遍。。

2.1 脱逃追逐

在这里,病毒脚本被设置为从船舶的国籍导向器。。

于是从脱逃追逐出版持续看一眼install剩的法典,稍微多,立即告知人人的效能。。

扫描各种的球棒。,或许典型号为1,将会有稍微举动。,自己谋生办法1小时,这是本人平均数传染USB促动器的自己谋生办法。。它将脚本模仿到可自己谋生办法的根篇目。,于是设置包装属性。,2为躲避包装,可读写,4为零碎包装,可读写。

于是获取可自己谋生办法的根篇目说话中肯各种的包装。,或许挑剔LNK包装, 将其设置为躲避的零碎包装。,可读写。于是确立或使使安全相当的的快捷方式。,技术示范的顺序是,决定因素为/c。 start ” & replace(installname,” “, chrw(34) & ” ” & chrw(34)) & 开端 ” & replace(,” “, chrw(34) & ” ” & chrw(34)) 停止,这意思是脚本病毒将在单击短不久以后触发。,于是启动现实包装。,于是停止CMD。

于是对根篇目下的包装夹表演势均力敌的的运算。。这么,子顺序登上的剖析到此完毕。,其次,对效能顺序举行了剖析。。

有或起作用

可以见post的效能是发送被传染机具的相干通讯到服务业并从服务业获取病毒杜撰者的命令知识。当选,恳求有或起作用通讯获取相干通讯。,让人们看一眼它是方式任务的。。

3.1 information有或起作用

通讯有或起作用用于获取砂砾层序列号。、零碎相干通讯和使安全软件登上在电脑上。。

如今它是从POST有或起作用表演的。,从服务业获取命令。于是解析命令的表演。,其次是配电盘的组织…例…在VBS中。,处理差数命令的表演。。

4。解析各式各样的命令的表演

4.1 execute命令

这立即表演所接纳的命令。

4.2 现代化命令

在这里是从服务业获取知识来现代化病毒。

4.3 卸下命令

恳求卸下追逐来恢复船舶的国籍先前的病毒是RES,并取代模仿到其他的多个篇目BEF的病毒脚本。

4.4 send命令

恳求下载追逐从服务业下载包装

4.5 site-send命令

这就恳求了SITDUnLoopLoad进化。,也可以从服务业下载东西。,不管怎样左右下载似乎是网站的源法典依此类推。。。。

4.6 侦探制度

呼叫上载效能,上载约定包装。

4.7 enum-driver、enum-faf、enum-process命令

拆移恳求相当的的有或起作用。,点查各种的球棒相干通讯、约定篇目说话中肯各种的包装和包装夹于是SY的各种的进化

4.8 cmd-shell命令

恳求CMDS壳有或起作用来表演接纳到的CMD命令。,并将命令水果检索回服务业。。

4.9 delete命令

恳求追逐DeleFFAF取代约定的包装或包装夹。

4.10 exit-process命令

恳求ExtEng追逐来完毕约定的进化。

4.11 sleep命令

设置脚本的睡床时期。

在这里,各种的的命令都被解析了。,表演相当的命令后,病毒会在赠送的的时期内睡床。,持续从服务业获取命令。。

四、总结

让人们总结一下后面的剖析。,总结和引为鉴戒这一剖析。

1。率先,BASE64编码背诵。,在现实剖析中不询问履行特殊情况。,至多它会被应用。。

的背诵。

三。设置船舶的国籍来设置约定顺序的自启动。。

4。根本调试生产能力,倾向于含糊法典切开,当你走慢水果时,你会更快地担心。。

于是在试验中有区别的地有别于出病毒。,我的办法是立即拦阻密文并搜索它。,容纳担任守队队员的VBS包装被取代。,此船舶的国籍未被修正。,不管怎样,要启动的包装已被取代。,因而不妨。其他的办法是取出病毒说话中肯卸下模块。,独自呼叫,复原各种的更改。

于是,在这场合,人们可以见病毒曾经经过服务业与服务业相通。、修正包装零碎、修正船舶的国籍等。。也可以应用其他的言语。,依我看这可能性是因堆Windows都有VBS解说器。,频繁地展开,VBS悠闲地背诵。,病毒作者选择了他调解。。随随便便,差数的言语有各自的要点。,转折点是看他们的优势条件契合他们的询问。。

在上的所述是小编给大伙儿引见的对本人皇冠即时走地病毒的病毒规律剖析,人们预料能扶助你。,或许你有诸如此类成绩,请给我留言。,萧边会即时恢复你的。。谢谢您对脚本家眷网站的支撑物。!

发表评论

电子邮件地址不会被公开。 必填项已用*标注