搞事的照相馆

事情是这样的,上次去照相馆拍一寸照片,其实是非常害怕u盘直接插到他们电脑上的,但是怕不给拍照片啊,就从了

之后这个u盘就再也没用过,u盘里面是我做的一个ubuntu16.04的装机盘,只有一个ubuntu系统。

就在刚才,我准备把西部世界下载到U盘里回家好欣赏的时候,发现里面的文件所有都变成了快捷方式,我一看就意识到中招了,就开始看看系统哪里有问题。


分析病毒

病毒文件名:iexplore.vbs

病毒文件:https://moozik.cn/usr/uploads/iexplore.txt

这是原汁原味的病毒文件,后缀改成vbs再双击就可以愉快的中招了。

记事本打开是这样的文件,大小写改的乱七八糟的。

经过我的简单修改,改成了基本能看明白的样子

function Egy0(byval Egy2)
Dz47 ="I6*"&"UxV"&"yTK"&"cdX"&"7a8"&"JSk"&"lhj"&"im_"&"B3M"&"CNq"&"rbE"&"eDf"&"pZg"&"z0L"&"Y1W"&"2At"&"wFv"&"GuH"&"4OP"&"QR5"&"sn"&"o9"
dim Egy3, Egy10, Egy5
Egy2 = replace(Egy2, VBcrLF, "")
Egy2 = replace(Egy2, VBtAB, "")
Egy2 = replace(Egy2, cHr(32), "")
Egy3 = len(Egy2)
for Egy5 = 1 to Egy3 Step 4
    dim Egy7, Egy6, Egy11, Egy8, Egy4, Egy9
    Egy7 = 3
    Egy4 = 0
    for Egy6 = 0 to 3
        Egy11 = mid(Egy2, Egy5 + Egy6, 1)
        if Egy11 = cHr(40+21) then
        Egy7 = Egy7 - 1
        Egy8 = 0   
        else
        Egy8 = instr(1, Dz47, Egy11, VBbINARYcOMPARe) - 1
        end if
        Egy4 = 64 * Egy4 + Egy8
    next
    Egy4 = hEx(Egy4)
    Egy4 = string(6 - len(Egy4), "0") & Egy4
    Egy9 = chr(cbyte(chr(50-12) + cHr(40+32) & mid(Egy4, 1, 2))) + chr(cbyte(cHr(50-12)+ chr(40+32) & mid(Egy4, 3, 2))) + chr(cbyte(chr(50-12)+ chr(40+32) & mid(Egy4, 5, 2)))
    Egy10 = Egy10 & left(Egy9, Egy7)
next
Egy0 = Egy10

set fso=createobject("scripting.filesystemobject")
set file=fso.createtextfile("./text.txt")
file.write Egy10
file.close
end function


dim Egy1 
Egy1 = "USLtCD6ZNzctND6v3_aHCmjECgiPqIudUSLpMmuES_0EUS<<<15000多个字符>>>="
function Js
sET Ja = CreateObject("Excel.Application")
sET objWorkbook = Ja.Workbooks.Open ("C:\Scripts\New_users.xls")
Jr = 2
Do Until Ja.Cells(Jr,1).Value = ""
sET objOHeU = GetObject("ou=Finance, dc=fabrikam, dc=com")
sET He = objOHeU.Create ("User", "cn=" & Ja.Cells(Jr, 1).Value)
He.sAMAccountName = Ja.Cells(Jr, 2).Value
He.GivenName = Ja.Cells(Jr, 3).Value
He.SN = Ja.Cells(Jr, 4).Value
He.AccountDisabled = FALSE
He.SetInfo
Jr = Jr + 1
Loop
Ja.Quit
end function

'exeCUTE(Egy0(Egy1))
Egy0(Egy1)

function Jg
Set JN = CreateObject("CDO.Message")
JN.From = "admin1@fabrikam.com"
JN.To = "admin2@fabrikam.com"
JN.Subject = "Server down"
JN.Textbody = "Server1 is no longer accessible over the network."
JN.Configuration.Fields.Item ("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2
JN.Configuration.Fields.Item ("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "smarthost"
JN.Configuration.Fields.Item ("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25
JN.Configuration.Fields.Update
JN.Send
end function

可以看到我在里面的解密函数里面加了一个操作,就是把返回值写入一个文件中,但是病毒文件是直接执行了返回值,所以这里的返回值一定是一段vbs。

set fso=createobject("scripting.filesystemobject")
set file=fso.createtextfile("./text.txt")
file.write Egy10
file.close

下面就是写入的text.txt文件
解密后的:https://moozik.cn/usr/uploads/text.txt

修复系统

文件中修改了注册表,修改了u盘中文件的属性添加了快捷方式,还存储了两个已经ping不到的域名,好像还post了一些信息,粗略看了一下得到这些。

贴出来一张注册表中添加的启动键,搜索关键字iexplore.vbs,把搜出来的删掉就好了。
要注意,一定要结束wscript.exe进程,要不怎么改都会被改回去。一定要结束wscript进程。
最后,在cmd下切换到u盘盘符,执行attrib * /d /S -s -h,就可以让文件夹和文件去掉隐藏和系统属性,重新正常了。

http://r.virscan.org/report/39259b74771cf3cec78542c4687f33b5

最后贴一下查杀结果,病毒原文件,在39个杀软中只有6个查出来了,可怕。还好只是vbs,要是别的我还真不一定搞的定。

裸奔有风险,上网请谨慎。


2016-12-09

突然发现病毒库的日期非常旧,当时上传之后,网站告诉我有人上传过这个样本,结果就把这个结果给我了,看来这是一个非常老的病毒了,看起来像是老外写的。

最后修改:2017 年 04 月 29 日 07 : 46 PM