关闭

实验室缉毒记之uzgbtymhqo.vbs

标签: u盘病毒
1110人阅读 评论(0) 收藏 举报
分类:

去年的事情了,写下来记一下吧。

周三在机房插上U盘后,周四的数据库上机发现U盘里所有东西都变成lnk,如下图:


随便打开一个lnk内容如下:
C:\windows\system32\cmd.exe /c start uzgbtymhqo.vbs&start explorer PowerDesigner15&exit


主要是这个uzgbtymhqo.vbs不知道是干什么的。
百度一下,有东西


所以这个病毒在小白双击这个lnk文件时,运行这个vbs然后在资源管理器中打开原来被隐藏的那个正常的文件,感觉上好像是直接打开我要的文件夹一样,没有什么异常。到底这个东西做了什么,唯有把代码找到才知道了。
于是打开 uzgbtymhqo.vbs



上面那一大堆整齐的鸟文原来是Base64编码后的东西。
最后执行的就是这么一个命令


于是,找到一段代码


费了一些时间,把这个变量的值输出到记事本,编码后有72kb的vbs文件,解码后还有13kb。
快看看都干了什么。。


作者的skype都在这里了。。这是打广告吗?
根据配置信息,是在
mlcrosoft.serveftp.com的 3311端口与肉鸡建立的远程连接。好狠呀有木有,mlcrosoft.serveftp.com初看还以为是微软的ftp服务器呢。
mlcrosoft.serveftp.com一看是个伊拉克的主机。。。
病毒藏身在系统的临时文件的目录里。然后就是动我的文件系统,发送request,加开机启动项之类的(在注册表两个地方加了,然后在start文件夹里也加了。)
开机启动:

肉鸡上线,执行命令


这两天有事无事都看看有没有可疑的连接,没发现那个伊拉克的ip,应该没事。。
*****************************************************************************************************************************************
*****************************************************************************************************************************************
下面贴上源代码:


0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:11190次
    • 积分:303
    • 等级:
    • 排名:千里之外
    • 原创:20篇
    • 转载:0篇
    • 译文:0篇
    • 评论:0条