最近碰到几个vbs病毒,但是变形后不好辨认,遂找了一种不靠谱的方法快速分析..
0x1 简析
先声明本方法只可用于虚拟机测试...
经过n多样本的观察,发现vbs样本采用的方法都是变形或者多次变形,但有一条通用的规则,即run str.
1.1 run类关键字
executeglobal(str)
EXECUTE(str)
1.2 str
万变不离其宗,str 即为该样本实现意图的命令拼接,所以需要解析完成拼接的str.
这里用vbs提供的写入log的方法,将run关键字那行注释掉,添加下面的语句写入log文件.
将log文件后缀修改为vbs,即为样本庐山真面目.
set fso = CreateObject("Scripting.FileSystemObject")
set f = fso.CreateTextFile("C:\VbsVirLog.txt", true) '第二个参数表示目标文件存在时是否覆盖
f.Write(str)
f.WriteBlankLines(3)