搞事的照相馆
事情是这样的,上次去照相馆拍一寸照片,其实是非常害怕u盘直接插到他们电脑上的,但是怕不给拍照片啊,就从了
之后这个u盘就再也没用过,u盘里面是我做的一个ubuntu16.04的装机盘,只有一个ubuntu系统。
就在刚才,我准备把西部世界下载到U盘里回家好欣赏的时候,发现里面的文件所有都变成了快捷方式,我一看就意识到中招了,就开始看看系统哪里有问题。
分析病毒
病毒文件名:iexplore.vbs
病毒文件:https://moozik.cn/usr/uploads/iexplore.txt
这是原汁原味的病毒文件,后缀改成vbs再双击就可以愉快的中招了。
记事本打开是这样的文件,大小写改的乱七八糟的。
经过我的简单修改,改成了基本能看明白的样子
function Egy0(byval Egy2)
Dz47 ="I6*"&"UxV"&"yTK"&"cdX"&"7a8"&"JSk"&"lhj"&"im_"&"B3M"&"CNq"&"rbE"&"eDf"&"pZg"&"z0L"&"Y1W"&"2At"&"wFv"&"GuH"&"4OP"&"QR5"&"sn"&"o9"
dim Egy3, Egy10, Egy5
Egy2 = replace(Egy2, VBcrLF, "")
Egy2 = replace(Egy2, VBtAB, "")
Egy2 = replace(Egy2, cHr(32), "")
Egy3 = len(Egy2)
for Egy5 = 1 to Egy3 Step 4
dim Egy7, Egy6, Egy11, Egy8, Egy4, Egy9
Egy7 = 3
Egy4 = 0
for Egy6 = 0 to 3
Egy11 = mid(Egy2, Egy5 + Egy6, 1)
if Egy11 = cHr(40+21) then
Egy7 = Egy7 - 1
Egy8 = 0
else
Egy8 = instr(1, Dz47, Egy11, VBbINARYcOMPARe) - 1
end if
Egy4 = 64 * Egy4 + Egy8
next
Egy4 = hEx(Egy4)
Egy4 = string(6 - len(Egy4), "0") & Egy4
Egy9 = chr(cbyte(chr(50-12) + cHr(40+32) & mid(Egy4, 1, 2))) + chr(cbyte(cHr(50-12)+ chr(40+32) & mid(Egy4, 3, 2))) + chr(cbyte(chr(50-12)+ chr(40+32) & mid(Egy4, 5, 2)))
Egy10 = Egy10 & left(Egy9, Egy7)
next
Egy0 = Egy10
set fso=createobject("scripting.filesystemobject")
set file=fso.createtextfile("./text.txt")
file.write Egy10
file.close
end function
dim Egy1
Egy1 = "USLtCD6ZNzctND6v3_aHCmjECgiPqIudUSLpMmuES_0EUS<<<15000多个字符>>>="
function Js
sET Ja = CreateObject("Excel.Application")
sET objWorkbook = Ja.Workbooks.Open ("C:\Scripts\New_users.xls")
Jr = 2
Do Until Ja.Cells(Jr,1).Value = ""
sET objOHeU = GetObject("ou=Finance, dc=fabrikam, dc=com")
sET He = objOHeU.Create ("User", "cn=" & Ja.Cells(Jr, 1).Value)
He.sAMAccountName = Ja.Cells(Jr, 2).Value
He.GivenName = Ja.Cells(Jr, 3).Value
He.SN = Ja.Cells(Jr, 4).Value
He.AccountDisabled = FALSE
He.SetInfo
Jr = Jr + 1
Loop
Ja.Quit
end function
'exeCUTE(Egy0(Egy1))
Egy0(Egy1)
function Jg
Set JN = CreateObject("CDO.Message")
JN.From = "admin1@fabrikam.com"
JN.To = "admin2@fabrikam.com"
JN.Subject = "Server down"
JN.Textbody = "Server1 is no longer accessible over the network."
JN.Configuration.Fields.Item ("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2
JN.Configuration.Fields.Item ("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "smarthost"
JN.Configuration.Fields.Item ("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25
JN.Configuration.Fields.Update
JN.Send
end function可以看到我在里面的解密函数里面加了一个操作,就是把返回值写入一个文件中,但是病毒文件是直接执行了返回值,所以这里的返回值一定是一段vbs。
set fso=createobject("scripting.filesystemobject")
set file=fso.createtextfile("./text.txt")
file.write Egy10
file.close下面就是写入的text.txt文件
解密后的:https://moozik.cn/usr/uploads/text.txt
修复系统
文件中修改了注册表,修改了u盘中文件的属性添加了快捷方式,还存储了两个已经ping不到的域名,好像还post了一些信息,粗略看了一下得到这些。
贴出来一张注册表中添加的启动键,搜索关键字iexplore.vbs,把搜出来的删掉就好了。
要注意,一定要结束wscript.exe进程,要不怎么改都会被改回去。一定要结束wscript进程。
最后,在cmd下切换到u盘盘符,执行attrib * /d /S -s -h,就可以让文件夹和文件去掉隐藏和系统属性,重新正常了。
http://r.virscan.org/report/39259b74771cf3cec78542c4687f33b5
最后贴一下查杀结果,病毒原文件,在39个杀软中只有6个查出来了,可怕。还好只是vbs,要是别的我还真不一定搞的定。
裸奔有风险,上网请谨慎。
2016-12-09
突然发现病毒库的日期非常旧,当时上传之后,网站告诉我有人上传过这个样本,结果就把这个结果给我了,看来这是一个非常老的病毒了,看起来像是老外写的。
3 条评论
这位小哥哥,不知道你还关不关注你的这篇文章,我办公室里电脑和优盘基本全部中了这个病毒,我按照你的方法杀完之后确实没了,但是过一会自己就又出来了,这是怎么回事啊,还有没有办法解决~~~~
建议你最好还是装杀毒解决,手工删干净了确实可以杀掉,但是要非常小心,别再次把他打开。
我看了下上面的杀毒报告,百度杀毒就能识别出来,你装个百度杀毒试试。
这个百度杀毒还挺好用的,问题解决了,谢谢啦,膜拜大神!