4,451
社区成员
发帖
与我相关
我的任务
分享与【virus.vbs.writebin.a】蠕虫病毒搏斗的故事
与【virus.vbs.writebin.a】蠕虫病毒搏斗的故事
!
英文名:vi,vbs.a
中文名:小红伞(变种)
种类:蠕虫病毒
危险级别:4级
简介:virus.vbs.writebin.a是一种破坏力极强的病毒,通过vbs执行,伪装系统进程,一但计算机或服务器(网吧,学校,医院等为重点攻击对象)【包含linux】一但被植入,病毒会利用现有TCP及UDP连接,包装成该进程将脚本植入局域网下所有计算机,该病毒在短时间内迅速扫描本地所有后缀名为(rar,zip,exe,html),并将自身脚本代码植入程序,程序一但启动病毒将自动触发病毒脚本,并将已植入的文件权限改写为只读权限,并且实时扫描外部接入的可写磁盘(如U盘),并植入相应脚本运行后会自动感染计算机中所有以HTM、EXE、DLL后缀的文件,在其未尾加上病毒代码,同时自动感染所有插入的可读移动磁盘,建立autorun.inf文件和RECYCLER文件夹,在RECYCLER文件夹其下留下病毒文件,文件名为随机字串符。
传播途径:各大软件下载站,该病毒会潜伏在zip
包内,一但解压就会触发病毒脚本。
故事说起来是2019-5-18的晚上,我正在刷一个中国移动的机顶盒,然后需要下载TTL的驱动,然后去某度了一下,随便找了个某c6下载站下了一个,一解压就360杀毒就一直在提醒已成功拦截,(因为自己也是开发者的原固,是开发者的都知道用易语言开发的软件360会报毒),于是果断关了360,接下来感觉有点晚了,然后电脑一关机就睡觉了。
2019-5-19早晨,我一如既的打开电脑,准备敲代码!一启动arduino ide突然弹出一个无权限访问,然后莫名其妙的就显示(已停止运行),偶然发现360卫士和360杀毒都挂了。心想感觉不妙。于是用管理员身份和兼容版运行,发现都是同样的结果。于是我打开了远程连接log日志(因为之前用电脑来当远程服务器的,所以果断关闭了防火墙【以便TCP连接传入】,之后就忘关了!用了花生棒做的端口映射,没作任何安全保障【因为模块处于调试阶段就没设SSL协议】),发现log日志里有22个同一IP接入过,查了一下这IP,发现是意大利的【果断推出结论黑客用的是外部ip转发形式黑入的】,正好这时发现网络下速度3MB/s左右(而且我什么软件都没打开),果断想到黑客可能在监控我电脑,而且在向我电脑植入什么脚本,于是我打开了文件管理(我的电脑),意外发现当前有一个远程桌面连接!(喔!有搞头)。于是便打开该远程桌面的属性,还是老提示(无权限访问),接下来我打算考虑把重要的文件备份下来然后重装系统(老想法),于是我插上了个8G的U盘,想着先把数据放我朋友电脑上存着,然后好用u盘做个启动盘。不料,U盘一插上我朋友电脑上,(喔)他电脑先是卡了个大概30秒左右,然后360卫士挂了,跟我电脑一样了。突然有个灵感,感觉这病毒不简单。于是网上查了一下类似于此病毒的资料,发现某度知道里有人提到过这类似的病毒。于是打开性能查看器,看到CPU占用率98%(楼主我用的I5第8代的处理器),内存80%(楼主我用的12GB运行内存),那么高的占用率(就只在桌面而已嘞),心想先尝试找到的这个进程再说(进程是被隐藏的,也可能是伪装成系统进程了),于是想起了以前写荒野行动外挂用到的在某度云上。于是赶紧去了网吧,下载了一份然后用易语言写了一个句柄搜索软件。随后先运行了句柄软件,发现跟其他软件一样。都弹出了相应的提示(已停止运行),于是想了想,现在系统肯定被病毒霸占了。于是便找朋友的软件做了个U深度启动盘。进到PE后发现每个盘里都有【autorun.inf文件和RECYCLER文件夹】,用手机从网上查了一下,得出此类文件为系统回收站文件夹。心想该病毒肯定是利用此类型文件来做伪装的(伪装成类似文件在系统正常启动的状态里是没有删除的。而且此文件在系统正常启动情况下是根本看不到的[隐藏的])【心想这名黑客绝对不简单】。于是我在PE环境下尝试把该文件改成txt后缀,用记事本打开(该文件),发现里面全部都是乱码的。我用某度查了一下,发现这文件原本代码就几句【是用来记录回收站的文件头的】,心想感觉可以直接删掉【个人比较洁癖,所以删回收站里的文件经常清空】,所以果断的给删了。因为之前查过此文件会通过vbs感染所有的exe,zip,rar,html文件。于是我找到之前我自写的一个Demo.html(自写的测试文件,就几行简单的代码),于是我改写了后缀名为txt,同样用记事本打开。发现里面被添加了很多vbs的代码[%RECYCLER%autorun.inf%]。发现这绝对是病毒留下的。想想一启动的话,PE肯定会凉[不过pe是在电脑的boot内存里,是一个格外的分区,而且这电脑一关机后,PE会自动格式化]。所以觉得应该没多大事。于是果断启动了此文件,发现弹出了n多个[缺少C++2008运行环境"%Sysme.win 32(x86)"],突然想起我的句柄软件还没用呢,于是插上U盘开始把句柄搜索软件[自己写的]和内存搜索软件[在网吧顺便下的,心想可能会用到],于是先启动句柄搜索软件,发现vbs进程在改写文件权限和系统权限(由于PE系统下没有c++2008的这个运行环境的原因,所以软件只能卡在最后执行步骤上),果断判断这软件依赖于C++2008的运行环境,大脑突然转出个想法(因为自己也是入门级C++的)。心想先把这病毒代码读出来看看(由于之前用记事本打开是乱码的【简单的判断了一下,可能是编码不正确的原因吧】(因为之前自己也做过软硬件开发的,因为硬件模块与手机通信乱码的话一定是波特率导致编码不一致的问题)),所以重新把病毒脚本打开(并进行了转码(发现居然用的是utf-16的编码)),接下来就是读代码了。发现前面用的是lua代码,后面用的都是C++代码。经过仔细观察发现他是用的lua脚本来获取系统权限,和伪装进程的。接下来为了防止病毒代码泄露,就不详细给大家说了(病毒得到权限后,首先第一步就是给usb驱动添加病毒脚本,【一但有可读设备插入自动复制病毒脚本到该设备上】,接下来就扫描所有磁盘并将病毒代码逐一复制到每个磁盘下。第三步就是扫描所有后缀名为exe,zip,rar,html将病毒脚本统统植入,第四步就是关闭防火墙,各大安全软件等,然后开始扫描局域网下共享的计算机,逐一植入,第五步就是开放被感染电脑的FTP服务器,远程桌面等。)于是我跟着病毒脚本的思路改写了病毒代码(简单描述),心想这代码不用编译???于是我再仔细查了一下,发现脚本里有调用一个exe的文件,果断判断这家伙肯定是用来编译这脚本的。于是我保存了改好的代码,重新开机运行了一下,大概等了个1分钟左右,然后电脑就蓝屏了。我嘞个乖乖啊,看了一下蓝屏故障代码,发现是系统注册表被删除导致的。于是只有再进PE,检查了一下D,E,F,H盘发现病毒脚本都被终结了。接下来就是重装系统了(重装系统就不说了,太简单了),装完系统后用卡巴斯基(大家肯定会想为啥不用360,我只能回答360是个广告辣鸡,一点用都没有)全盘扫描了一下,发现完美修复了!
所以小编在这里告诉各位,珍爱电脑生命,远离软件下载站。
!
英文名:vi,vbs.a
中文名:小红伞(变种)
种类:蠕虫病毒
危险级别:4级
简介:virus.vbs.writebin.a是一种破坏力极强的病毒,通过vbs执行,伪装系统进程,一但计算机或服务器(网吧,学校,医院等为重点攻击对象)【包含linux】一但被植入,病毒会利用现有TCP及UDP连接,包装成该进程将脚本植入局域网下所有计算机,该病毒在短时间内迅速扫描本地所有后缀名为(rar,zip,exe,html),并将自身脚本代码植入程序,程序一但启动病毒将自动触发病毒脚本,并将已植入的文件权限改写为只读权限,并且实时扫描外部接入的可写磁盘(如U盘),并植入相应脚本运行后会自动感染计算机中所有以HTM、EXE、DLL后缀的文件,在其未尾加上病毒代码,同时自动感染所有插入的可读移动磁盘,建立autorun.inf文件和RECYCLER文件夹,在RECYCLER文件夹其下留下病毒文件,文件名为随机字串符。
传播途径:各大软件下载站,该病毒会潜伏在zip
包内,一但解压就会触发病毒脚本。
故事说起来是2019-5-18的晚上,我正在刷一个中国移动的机顶盒,然后需要下载TTL的驱动,然后去某度了一下,随便找了个某c6下载站下了一个,一解压就360杀毒就一直在提醒已成功拦截,(因为自己也是开发者的原固,是开发者的都知道用易语言开发的软件360会报毒),于是果断关了360,接下来感觉有点晚了,然后电脑一关机就睡觉了。
2019-5-19早晨,我一如既的打开电脑,准备敲代码!一启动arduino ide突然弹出一个无权限访问,然后莫名其妙的就显示(已停止运行),偶然发现360卫士和360杀毒都挂了。心想感觉不妙。于是用管理员身份和兼容版运行,发现都是同样的结果。于是我打开了远程连接log日志(因为之前用电脑来当远程服务器的,所以果断关闭了防火墙【以便TCP连接传入】,之后就忘关了!用了花生棒做的端口映射,没作任何安全保障【因为模块处于调试阶段就没设SSL协议】),发现log日志里有22个同一IP接入过,查了一下这IP,发现是意大利的【果断推出结论黑客用的是外部ip转发形式黑入的】,正好这时发现网络下速度3MB/s左右(而且我什么软件都没打开),果断想到黑客可能在监控我电脑,而且在向我电脑植入什么脚本,于是我打开了文件管理(我的电脑),意外发现当前有一个远程桌面连接!(喔!有搞头)。于是便打开该远程桌面的属性,还是老提示(无权限访问),接下来我打算考虑把重要的文件备份下来然后重装系统(老想法),于是我插上了个8G的U盘,想着先把数据放我朋友电脑上存着,然后好用u盘做个启动盘。不料,U盘一插上我朋友电脑上,(喔)他电脑先是卡了个大概30秒左右,然后360卫士挂了,跟我电脑一样了。突然有个灵感,感觉这病毒不简单。于是网上查了一下类似于此病毒的资料,发现某度知道里有人提到过这类似的病毒。于是打开性能查看器,看到CPU占用率98%(楼主我用的I5第8代的处理器),内存80%(楼主我用的12GB运行内存),那么高的占用率(就只在桌面而已嘞),心想先尝试找到的这个进程再说(进程是被隐藏的,也可能是伪装成系统进程了),于是想起了以前写荒野行动外挂用到的在某度云上。于是赶紧去了网吧,下载了一份然后用易语言写了一个句柄搜索软件。随后先运行了句柄软件,发现跟其他软件一样。都弹出了相应的提示(已停止运行),于是想了想,现在系统肯定被病毒霸占了。于是便找朋友的软件做了个U深度启动盘。进到PE后发现每个盘里都有【autorun.inf文件和RECYCLER文件夹】,用手机从网上查了一下,得出此类文件为系统回收站文件夹。心想该病毒肯定是利用此类型文件来做伪装的(伪装成类似文件在系统正常启动的状态里是没有删除的。而且此文件在系统正常启动情况下是根本看不到的[隐藏的])【心想这名黑客绝对不简单】。于是我在PE环境下尝试把该文件改成txt后缀,用记事本打开(该文件),发现里面全部都是乱码的。我用某度查了一下,发现这文件原本代码就几句【是用来记录回收站的文件头的】,心想感觉可以直接删掉【个人比较洁癖,所以删回收站里的文件经常清空】,所以果断的给删了。因为之前查过此文件会通过vbs感染所有的exe,zip,rar,html文件。于是我找到之前我自写的一个Demo.html(自写的测试文件,就几行简单的代码),于是我改写了后缀名为txt,同样用记事本打开。发现里面被添加了很多vbs的代码[%RECYCLER%autorun.inf%]。发现这绝对是病毒留下的。想想一启动的话,PE肯定会凉[不过pe是在电脑的boot内存里,是一个格外的分区,而且这电脑一关机后,PE会自动格式化]。所以觉得应该没多大事。于是果断启动了此文件,发现弹出了n多个[缺少C++2008运行环境"%Sysme.win 32(x86)"],突然想起我的句柄软件还没用呢,于是插上U盘开始把句柄搜索软件[自己写的]和内存搜索软件[在网吧顺便下的,心想可能会用到],于是先启动句柄搜索软件,发现vbs进程在改写文件权限和系统权限(由于PE系统下没有c++2008的这个运行环境的原因,所以软件只能卡在最后执行步骤上),果断判断这软件依赖于C++2008的运行环境,大脑突然转出个想法(因为自己也是入门级C++的)。心想先把这病毒代码读出来看看(由于之前用记事本打开是乱码的【简单的判断了一下,可能是编码不正确的原因吧】(因为之前自己也做过软硬件开发的,因为硬件模块与手机通信乱码的话一定是波特率导致编码不一致的问题)),所以重新把病毒脚本打开(并进行了转码(发现居然用的是utf-16的编码)),接下来就是读代码了。发现前面用的是lua代码,后面用的都是C++代码。经过仔细观察发现他是用的lua脚本来获取系统权限,和伪装进程的。接下来为了防止病毒代码泄露,就不详细给大家说了(病毒得到权限后,首先第一步就是给usb驱动添加病毒脚本,【一但有可读设备插入自动复制病毒脚本到该设备上】,接下来就扫描所有磁盘并将病毒代码逐一复制到每个磁盘下。第三步就是扫描所有后缀名为exe,zip,rar,html将病毒脚本统统植入,第四步就是关闭防火墙,各大安全软件等,然后开始扫描局域网下共享的计算机,逐一植入,第五步就是开放被感染电脑的FTP服务器,远程桌面等。)于是我跟着病毒脚本的思路改写了病毒代码(简单描述),心想这代码不用编译???于是我再仔细查了一下,发现脚本里有调用一个exe的文件,果断判断这家伙肯定是用来编译这脚本的。于是我保存了改好的代码,重新开机运行了一下,大概等了个1分钟左右,然后电脑就蓝屏了。我嘞个乖乖啊,看了一下蓝屏故障代码,发现是系统注册表被删除导致的。于是只有再进PE,检查了一下D,E,F,H盘发现病毒脚本都被终结了。接下来就是重装系统了(重装系统就不说了,太简单了),装完系统后用卡巴斯基(大家肯定会想为啥不用360,我只能回答360是个广告辣鸡,一点用都没有)全盘扫描了一下,发现完美修复了!
所以小编在这里告诉各位,珍爱电脑生命,远离软件下载站。
...全文
请发表友善的回复…
发表回复
For null 2020-06-22
- 打赏
- 举报
360急救箱用过没?
weixin_44999985 2020-06-22
- 打赏
- 举报
virus vbs writebin a 我现在中的是这个病毒,杀了还有杀了还有不知道怎么解决
