Board logo

标题: 转帖:回驳微点对批处理定义:“投票VBS脚本”病毒技术细节 [打印本页]
作者: feifeirenren     时间: 2009-3-15 23:46    标题: 转帖:回驳微点对批处理定义:“投票VBS脚本”病毒技术细节

转贴内容: http://www.anqn.com/bingdu/baogao/2007-10-08/a0988531.shtml

X星定义为病毒:http://it.rising.com.cn/Channels ... 0181719d44004.shtml


-- 微点对批处理定义 -----------------------------

微点主动防御软件设计目标主要用于防御计算机病毒、蠕虫、木马等有害程序;对于利用批处理命令等制作的恶意程序,由于此类程序不具有自我复制、传播等病毒和木马特性,不是病毒和木马,微点主动防御软件采用提取特征码应用特征值扫描技术防御。

----------------------------------------


    这是一个VBS编写的脚本病毒

    病毒运行后会先获取本机计算名称,并将自身更改名称为"ComputerName.vbs"(computername为获得的本机计算机名称)复制到%SYSTEM32%目录中.

    病毒会遍历进程,查找以下关键字的进程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe",并结束这些进程,使当前机器失去保护.

    病毒会修改注册表和修改Win.ini文件达到自启动目的HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Load"SystemRoot%\System32\WScript.exe + 病毒路径名"WIN.INI\WINDOWS"LOAD" = %SYSTEM%\(病毒文件名)

    病毒会修改如下文件关联,使用户在执行下列类型文件时,病毒可以跟随启动.
    HKEY_CLASSES_ROOT\chm.file\shell\open\command%SYSTEMROOT%\SYSTEM32\WSCRIPT.EXE "%WINDOWS%\OP.VBS" %1 %*
    HKEY_CLASSES_ROOT\txtfile\shell\open\command%SYSTEMROOT%\SYSTEM32\WSCRIPT.EXE "%WINDOWS%\OP.VBS" %1 %*
    HKEY_CLASSES_ROOT\regfile\shell\open\command%SYSTEMROOT%\SYSTEM32\WSCRIPT.EXE "%WINDOWS%\OP.VBS" %1 %*

    病毒会修改注册表选项,使当前机器查看隐藏文件失效
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\Advanced"ShowSuperHidden" = 0X00000000
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SHOWALL"CheckedValue" = 0X00000000

    遍历本地分区,如果是可移动存储设备,映射目录,本地磁盘,则向对应的根目录中写入autorun.inf wscript.exe 和病毒本身

    autorun.inf的内容如下:
    [AutoRun]"
    "Shellexecute=WScript.exe "
    "shell\AutoRun=打开(&O)"
    "shell\AutoRun\command=WScript.exe "
    "shell\AutoRun1=资源管理器(&X)"
    "shell\AutoRun1\command=WScript.exe "

    病毒遍历中毒机器中的html hta htm asp vbs文件,当本身插入到以上类型文件中的任意部分,达到感染文件的目的.

    病毒会遍历mpg rmvb avi rm文件,并删除一些规定好关键字的文件.

    总结:该病毒虽然没有一些具体的偷用户密码,开后门,监控用户机器等行为,但该病毒有很大的扩展空间,拿到该脚本病毒的人,可以随意向中添加代码.例如加上一段Downloade代码,就可以变成一个可感染型的下载病毒,而这些下载的病毒,有可能是偷密码的,有可能是后门,也有可能是蠕虫,总之,这个脚本病毒是一个很好的框架,给病毒制作者提供了一个便利的平台.同时,也会对广大用户来带很大的潜在危险.
作者: keyoushi     时间: 2009-3-16 07:47
这个问题由来已久,值得关注,不仅仅是对微点
作者: snhao     时间: 2009-3-16 14:41
多顶下,不然版主不会理的。
作者: jaber     时间: 2009-3-16 14:49
你试过这个样本微点不处理吗?
作者: mamsds     时间: 2009-3-16 17:30
原理上,微点很有可能不处理!
作者: lsj301     时间: 2009-3-16 20:47
版主没理会
作者: coldice212005     时间: 2009-3-17 12:38
没理会说明微点对你的这个样本早就已经有了处理吧。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn