VBS.Runauto腳本病毒分析篇

2019-10-26 18:03:46

字體：大中小

來源：轉載

供稿：網友

最近一位同事的筆記本遭遇了這個病毒，正好這學期在給計算機專業的同學們上VBscript于是順便分析了一下。
首先從染病毒的計算機上提取下來病毒樣本，由于是臨時發現的，也沒有特別準備，就用winrar壓縮后保存。
在實驗機器上打開病毒樣本的壓縮文件，我的Symantec 11立即報警，并把病毒刪除了。所以必須禁用殺毒軟件或者設置一個“例外區域”用于分析病毒，于是在桌面上新建了“evA”文件夾，并將之設置為防病毒例外文件夾，這下病毒樣本安靜的躺在里面了。
腳本病毒是解釋型程序，因此我們不需要什么特別的反編譯工具就能查看源代碼了。雖然Windows的記事本足夠用了，但是我還是喜歡使用UltraEdit。
使用打開UltraEdit打開病毒文件如圖1，注意，為了防止誤觸發病毒，這里首先將vbs擴展名修改為txt。

圖1 病毒腳本
打開病毒腳本，大家可以發現代碼的可讀性非常差，大小寫字母雜亂的排列，并且還有很多無法理解的符號串。其實這是病毒為了保存自己而“想”出來的“保護傘”。
病毒代碼大小寫問題可以在UE（以后UltraEdit簡稱）中選擇文本后，使用Ctrl+F5直接轉換成小寫字母。對于類似密碼的“00c2%0033%……”的字符串相對來說比較麻煩點。
從病毒代碼中可以發現只要出現“亂碼”的地方都會有“STrREVeRSE”和“unEscaPE”函數的調用，其中“unescape”是vbscript標準函數，作用就是將經過escape函數編碼過的字符串進行反編碼。這里需要說明一下，由于Web中的Html對于有些符號是進行保留使用的，比如“<”和“>”符號，如果需要對這些符號進行顯示那么需要對他們進行html編碼，所有空格、標點、重音符號以及其他非 ASCII 字符都用 %xx 編碼代替，其中 xx 等于表示該字符的十六進制數。例如，空格返回的是 "%20" 。字符值大于 255 的，比如中文，以 %uxxxx 格式存儲。在對“密碼”進行分析，發現其實就是將escape編碼的符號串進行了反向，再結合“STrREVeRSE”函數名，可以斷定病毒作者為了能使病毒逃避殺毒軟件的檢測，采用了將關鍵代碼進行編碼和反向存儲的方式。
在UE中可以直接對字符串進行編碼和解碼，不過要對字符串鏡像并沒有現成的工具可以使用，最近正在給學生上JavaScript，順手寫了一個頁面進行解碼或者編碼，雖然很簡單，不過為了敘述的連續性，代碼如下：
復制代碼代碼如下:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>將字符串Reverse</title>
<script type="text/javascript">
function _reverse()
{

上一篇：使用xcacls.vbs(cacls.exe)修改NTFS權限說明(中文版)第1/2頁

下一篇：VBS 16進制驗證特定字符

發表評論

共有條評論