解剖一个U盘病毒~
ldc2009/01/21软件综合 IP:湖南
某人拿一U盘给我看,发现了个很诡异的东西~
1.jpg
正愁今天没事干,就解剖解剖这个毒吧。先用PEiD检查,发现是VB5.0/6.0写的,还没加壳。用VBExplorer打开查看字符串,发现一些注册表键值和“XXXXXXXXXXf"数据。看来这个病毒也不咋滴,只是修改注册表隐藏真文件夹并把自己伪装成文件夹,顺便加个自动播放感染。
2.jpg
继续深入,发现有一个主窗体MainForm,Visible属性是False,把它改成True,保存。转到虚拟机下,运行这程序。结果病毒窗体原形毕露。看来作者的水平实在不咋滴。
3.jpg
嗯,病毒还有用SendKeys恶意发QQ消息的功能。而且作者还比较YJ...
遍历盘符还用Drive控件,看来作者需要补补API和FSO知识了。但为啥他要把这些字符用Label的形式存放,实在有点想不明白。再看QQ登陆窗口,挺XZ...
4.jpg
发现任务管理器打不开了,嗯,意料之中,之前看到了一个叫“DisableTaskMgr”的键值,就是禁用任务管理器的。
用冰刃结束掉进程,把修改过的注册表数据改回来,虚拟机恢复正常。
解剖结束,遗憾的是没有发现动态域名或者IP地址的字符串,也没有发现病毒连接网络,也就是说这不是一个木马。我原本还打算找出放病毒的人的IP玩弄玩弄他的呢,既然不是木马,解剖到此为止。
-5000  科创币    1211    2009/01/21 纠正过高加分
+10000  科创币    93°    2009/01/21 。。加精就不同了
+2000  科创币    93°    2009/01/21 原创文章
来自:计算机科学 / 软件综合
18
 
已屏蔽 原因:{{ notice.reason }}已屏蔽
{{notice.noticeContent}}
~~空空如也
93°
16年1个月前 IP:未同步
62427
这种问题在我们学校的电脑也遇到过,因为我们班的电脑被我装了WIN7系统,这个病毒根本没法用,直接就给删了
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
kangyuhelf2
16年1个月前 IP:未同步
62433
正因为如此....我为了避开这种病毒.我打开所有的盘...我都习惯用右键打开....
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
usercim
16年1个月前 IP:未同步
62434
这个病毒的窗体怎么这么弱智.并且不做免杀也不加壳,连个插花都没有.估计是整人软件吧
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
ceuros
16年1个月前 IP:未同步
62458
估计是哪个粗通VB的学生,存一大堆乱字符估计是想吓唬人
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
ldc作者
16年1个月前 IP:未同步
62460
怪就怪在这个窗体本来是不显示的,我改了Visible属性后才显示。所有Label控件里的文字都可能在你和别人用QQ聊天时突然发送给对方...实在很囧...
想不明白作者为什么煞有介事地设计一个不可能显示的窗体。
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
我说要有光
16年1个月前 IP:未同步
62563
Label估计是存字符用的。。。  窗体应该是为了编程时候方便   可以用眼睛看见的TForm比TThread要简单的多。。。
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
93°
16年1个月前 IP:未同步
62653
我会直接用model。。。.NET普及的话直接用线程。。
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
jrcsh
16年1个月前 IP:未同步
62697
用到 XXXXXXXXXXf 来起动的都不是什么有水平的了  

反正就是这个样  就是只会下载哪些生成器  

合个垃圾出来吓吓文盲


不过~~~~~是想当浪费我们的时间
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
west_0830
16年1个月前 IP:未同步
62703
93的头像也这么强大了 [s:233]
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
kevin
16年1个月前 IP:未同步
62707
ls要小心了… 话说上次玩鸽子… 加壳加不来…
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
noname剑人
16年1个月前 IP:未同步
70254
试试NPSE [s:12]
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
chiataimakra
16年1个月前 IP:未同步
70762
12000KCB!!!!!!!!!!!!


93送钱了!大家快灌水!!!!!!!

啊啊啊啊啊啊!!!啊啊啊啊啊啊啊啊啊啊啊啊啊!!!!!!!!!
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
彼岸江山
16年1个月前 IP:未同步
70771
天啊,93,你出手真阔……
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
why1gz
16年1个月前 IP:未同步
70823

第一:禁止了.自动运行..
第二:封锁了注册表
第三:在主策略里禁止了很多东西
第四:平时不用系统管理员帐户
第六:勤打补丁
第七:不上有"病虫害"的网站
所以就算没有杀毒软件.一般病毒也拿我没办法
+315
科创币
彼岸江山
2009-02-05
精辟
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
zooulo
16年1个月前 IP:未同步
70826
可以在sandboxie(沙盘)里打开
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
why1gz
16年1个月前 IP:未同步
71247
1211又来扣分了
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
逆风行走
15年6个月前 IP:未同步
140142
做这毒的八成是想让你解析。。
-100
科创币
phpskycn
2009-08-13
灌水+翻老贴
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
????
10年3个月前 IP:山东
729881
这是闹着玩吧
引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论

想参与大家的讨论?现在就 登录 或者 注册

所属专业
上级专业
同级专业
ldc
学者 机友 笔友
文章
75
回复
768
学术分
34
2005/10/01注册,11天3时前活动
暂无简介
主体类型:个人
所属领域:无
认证方式:手机号
IP归属地:未同步
插入公式
评论控制
加载中...
文号:{{pid}}
投诉或举报
加载中...
{{tip}}
请选择违规类型:
{{reason.type}}

空空如也

加载中...
详情
详情
推送到专栏从专栏移除
设为匿名取消匿名
查看作者
回复
只看作者
加入收藏取消收藏
收藏
取消收藏
折叠回复
置顶取消置顶
评学术分
鼓励
设为精选取消精选
管理提醒
编辑
通过审核
评论控制
退修或删除
历史版本
违规记录
投诉或举报
加入黑名单移除黑名单
查看IP
{{format('YYYY/MM/DD HH:mm:ss', toc)}}