微点交流论坛 - 反病毒 - 转帖：回驳微点对批处理定义：“投票VBS脚本”病毒技术细节

微点交流论坛 » 反病毒 » 转帖：回驳微点对批处理定义：“投票VBS脚本”病毒技术细节

feifeirenren
新手上路

积分 3
发帖 3
注册 2009-3-15

#1 转帖：回驳微点对批处理定义：“投票VBS脚本”病毒技术细节

转贴内容： http://www.anqn.com/bingdu/baogao/2007-10-08/a0988531.shtml

X星定义为病毒：http://it.rising.com.cn/Channels ... 0181719d44004.shtml

－－微点对批处理定义－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

微点主动防御软件设计目标主要用于防御计算机病毒、蠕虫、木马等有害程序；对于利用批处理命令等制作的恶意程序，由于此类程序不具有自我复制、传播等病毒和木马特性，不是病毒和木马，微点主动防御软件采用提取特征码应用特征值扫描技术防御。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

这是一个VBS编写的脚本病毒

病毒运行后会先获取本机计算名称,并将自身更改名称为"ComputerName.vbs"(computername为获得的本机计算机名称)复制到%SYSTEM32%目录中.

病毒会遍历进程,查找以下关键字的进程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe",并结束这些进程,使当前机器失去保护.

病毒会修改注册表和修改Win.ini文件达到自启动目的HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Load"SystemRoot%\System32\WScript.exe + 病毒路径名"WIN.INI\WINDOWS"LOAD" = %SYSTEM%\(病毒文件名)

病毒会修改如下文件关联,使用户在执行下列类型文件时,病毒可以跟随启动.
HKEY_CLASSES_ROOT\chm.file\shell\open\command%SYSTEMROOT%\SYSTEM32\WSCRIPT.EXE "%WINDOWS%\OP.VBS" %1 %*
HKEY_CLASSES_ROOT\txtfile\shell\open\command%SYSTEMROOT%\SYSTEM32\WSCRIPT.EXE "%WINDOWS%\OP.VBS" %1 %*
HKEY_CLASSES_ROOT\regfile\shell\open\command%SYSTEMROOT%\SYSTEM32\WSCRIPT.EXE "%WINDOWS%\OP.VBS" %1 %*

病毒会修改注册表选项,使当前机器查看隐藏文件失效
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\Advanced"ShowSuperHidden" = 0X00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder
\Hidden\SHOWALL"CheckedValue" = 0X00000000

遍历本地分区,如果是可移动存储设备,映射目录,本地磁盘,则向对应的根目录中写入autorun.inf wscript.exe 和病毒本身

autorun.inf的内容如下:
[AutoRun]"
"Shellexecute=WScript.exe "
"shell\AutoRun=打开(&O)"
"shell\AutoRun\command=WScript.exe "
"shell\AutoRun1=资源管理器(&X)"
"shell\AutoRun1\command=WScript.exe "

病毒遍历中毒机器中的html hta htm asp vbs文件,当本身插入到以上类型文件中的任意部分,达到感染文件的目的.

病毒会遍历mpg rmvb avi rm文件,并删除一些规定好关键字的文件.

总结：该病毒虽然没有一些具体的偷用户密码,开后门,监控用户机器等行为,但该病毒有很大的扩展空间,拿到该脚本病毒的人,可以随意向中添加代码.例如加上一段Downloade代码,就可以变成一个可感染型的下载病毒,而这些下载的病毒,有可能是偷密码的,有可能是后门,也有可能是蠕虫,总之,这个脚本病毒是一个很好的框架,给病毒制作者提供了一个便利的平台.同时,也会对广大用户来带很大的潜在危险.

※ ※ ※ 本文纯属【feifeirenren】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-15 23:46

keyoushi
中级用户

积分 266
发帖 264
注册 2007-2-2

#2

这个问题由来已久，值得关注，不仅仅是对微点

※ ※ ※ 本文纯属【keyoushi】个人意见，与【微点交流论坛】立场无关※ ※ ※

用鼠标双击我的钱包，选中一张一百元，然后不停地Ctrl+C,再不停地Ctrl+V...

2009-3-16 07:47

snhao
银牌会员

积分 1791
发帖 1782
注册 2007-6-12

#3

多顶下，不然版主不会理的。

※ ※ ※ 本文纯属【snhao】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-16 14:41

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#4

你试过这个样本微点不处理吗？

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

XP2（原版未打补丁）
单独微点预升级

2009-3-16 14:49

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#5

原理上，微点很有可能不处理！

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2009-3-16 17:30

lsj301
银牌会员

积分 1388
发帖 1382
注册 2009-3-16
来自甘肃兰州

#6

版主没理会

※ ※ ※ 本文纯属【lsj301】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-16 20:47

coldice212005
中级用户

积分 242
发帖 242
注册 2008-10-26

#7

没理会说明微点对你的这个样本早就已经有了处理吧。

※ ※ ※ 本文纯属【coldice212005】个人意见，与【微点交流论坛】立场无关※ ※ ※

[url=http://www.kaoyancas.com][b]中科院考研真题[/b][/url]

2009-3-17 12:38

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号