VBS写成的远控病毒分析

最新推荐文章于 2024-06-26 16:10:26 发布
最新推荐文章于 2024-06-26 16:10:26 发布
阅读量555 收藏 2
点赞数
分类专栏: 样本分析 文章标签: 安全 反病毒 vbs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44156885/article/details/109969957
版权

Agent.a病毒分析

样本信息

MD5:78a0e123da2a2555f830cb880293c10d

样本概述

该病毒是一个通过可移动磁盘传播的远控病毒。其感染主机后会分别将自身拷贝到自启目录和临时目录,并添加自启以实现持久化。其在运行后会连接http://shabh.no-ip.biz:1975/is-ready上传主机信息和接收控制指令,并在主机使用可移动磁盘时感染可移动磁盘。

行为概述

注册表行为

1,分别在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run创建
键:文件名 值:wscript.exe /B "%Temp%\文件名.vbs,用于自启。
2,在HKEY_LOCAL_MACHINE\software\创建键:文件名 值:true\false-日期,用于记录是否是可移动磁盘感染。

文件行为

1,当自身不是在%temp%目录下运行时,将自身复制到%temp%目录下并运行。

进程行为

1,当自身不是在%temp%目录下运行时,则使用wscript.exe运行位于%temp%目录下的自身。

网络行为

1,连接shabh.no-ip.biz上传主机信息,接收控制指令等。

详细分析

1,病毒母体是一个经过base64加密的VBS脚本,其进行解密后运行。
在这里插入图片描述
base64解密(python)

import base64
import os

string1 = "Jw==1PA==1Ww==1IA==1"
string2 = string1.split("1")

path  = os.getcwd();
path  = path + "\\result.txt"

fp = open(path,"w")

for string3 in string2:
    string_temp = base64.b64decode(string3).decode("utf-8")
    fp.write(string_temp) 

fp.close()

2,其运行后会首先将自身拷贝到自启目录和%temp%目录中,其中临时文件夹中的文件被添加自启。
在这里插入图片描述
添加自启的位置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键:文件名,值:wscript.exe /B “C:\Users\sam\AppData\Local\Temp\文件名.vbs”
并会判断自身是否是在临时文件夹下运行,如果不是则启动临时文件加下的病毒,退出自身。
在这里插入图片描述
3,检测主机有无使用可移动磁盘,如果有则将病毒自身拷贝到可移动磁盘的根目录,并为其设置快捷方式,而且还会为可移动中的每个文件夹都设置一个快捷方式,每个快捷方式都指向病毒文件。
在这里插入图片描述
为每个文件夹都设置快捷方式,且每个快捷方式都指向病毒文件。
在这里插入图片描述
4,连接http://shabh.no-ip.biz:1975/is-ready,将收集到的主机信息发送给它,并请求控制指令。
在这里插入图片描述
5,根据控制指令做出相应的动作。
包括运行文件,更新,卸载等。
在这里插入图片描述

浪里个浪...
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VB写简单远程控制+木马 (实例)[转载]
hack_wg的专栏
01-21 3259
VB写简单远程控制+木马 (实例)[转载] 1、建一个.txt文本文档.2、在里面输入下面三行内容:@echo offnet user sd 123456 /addnet localgroup administrators sd /add说明:前面sd是用户名后面123456是密码;3、把这个文件保存,更改后缀为xx.bat ,名字随便起;4、把这个文件拷贝到要建立帐户的电脑C:/WI
远控病毒分析
bilibili的博客
08-15 1439
1
病毒分析】对一个vbs脚本病毒分析
dfdhxb995397的博客
09-18 309
病毒分析】对一个vbs脚本病毒分析 本文来源:i春秋社区-分享你的技术,为安全加点温度 一、前言 病毒课老师丢给我们一份加密过的vbs脚本病毒的代码去尝试分析,这里把分析过程发出来,供大家参考,如果发现文中有什么错误或者是有啥建议,可以直接留言给我,谢谢! 二、目录整个分析过程可以分为以下几个部分: 0x00 准备工作 0x01 解密部分 0x02 功能分析三、分...
对一个vbs脚本病毒病毒原理分析
最新发布
Oona_01的博客
06-26 27
然后创建相应的快捷方式,其指向的程序是cmd.exe,其参数是"/c start " & replace(installname," ", chrw(34) & " " & chrw(34)) & "&start " & replace(file.name," ", chrw(34) & " " & chrw(34)) &"&exit",意思是点击该快捷方式后会先启动那个脚本病毒,然后再启动真正的文件,之后退出cmd。总之,不同的语言都有自己的特点吧,关键要看其优点是否和自己的需求相契合吧。
vbs病毒代码及其分析
11-22 2927
On Error Resume NextSet fs=CreateObject("Scripting.FileSystemObject")Set dir1=fs.GetSpecialFolder(0)Set dir2=fs.GetSpecialFolder(1)Set so=CreateObject("Scripting.FileSystemObject")dim rSet r=CreateObj
vbs病毒分析神技——使用VS2017调试vbs脚本
鬼手的博客
04-05 1799
分析VBS类的文档病毒的时候,通常会因为病毒加密问题感到头疼,如果加密了好几层,只能用MsgBox或者输出到文件,一层一层解密,但是如果能有个顺手的调试器去调试就能达到事半功倍的效果了 设置VS2017调试器 接着选择调试->选项,把脚本前面的勾给打上,这一步需要管理员权限 调出调试器 命令行输入wscript /X 要调试vbs脚本的路径 或者用cmd敲上这条命令也可以打开调试器 ...
电脑远控工具Venom Rat 毒液的测试和预防
热门推荐
百锦再的博客
02-21 2万+
毒老鼠,毒鼠。后来我又去查了一些相关网站,终于确定了,他就叫毒液,至于为什么叫毒液,我才因为是可以注入的,所以叫这个名字吧。言归正传!Venom Rat(毒液)实际上是一种恶意软件,而不是普通的电脑远程控制软件。毒液(Venom)通常指具有远程访问功能的RAT(Remote Access Trojan)恶意软件,可以允许黑客远程操控受感染的计算机,并窃取敏感信息、监视用户活动等。请注意,这些恶意软件可能非法使用和传播,给个人和组织带来严重的安全威胁。也就是说毒液指的是一类软件。
VBS脚本读写EXCEL方法介绍.doc
03-14
### VBS脚本读写EXCEL方法介绍 #### 一、概述 VBS(Visual Basic Script Edition)是一种轻量级的脚本语言,基于Visual Basic语法。它可以在Windows平台上运行,用于实现各种自动化任务,例如读取或写入Excel文件...
Autorun.vbs病毒专杀工具
04-02
" Autorun.vbs病毒专杀工具 " 这个标题表明我们要讨论的是一款专门用于清除或防御名为 "Autorun.vbs" 的病毒的软件工具。Autorun.vbs病毒是一种常见的计算机恶意软件,它利用Windows操作系统中的自动运行功能进行...
vbs源码之的IIS日志分析工具
09-07
4. **执行分析**:通过命令提示符,使用`cmd`打开,并将`log.vbs`拖拽到命令提示符窗口,按回车开始分析。 【未来规划】 开发者计划将此工具转化为软件版本,虽然目前尚未发布,但表示一旦成熟,新版本的IIS日志...
vbs 脚本加解密
12-02
支持文件拖动功能,将脚本拖动到该文件上即可完成加解密。 自动识别,加密过的文件拖动到该文件上会自动解密,未加密的文件拖动到该文件上会自动加密。 加密后,自己的vbs程序有一定的保密性,防止源码外泄!
VB远程控制 VB远程控制 VB远程控制
11-11
这是本人写的一个非常简单的小例子,主要的目的就是让大家了解服务器与客户端的通信原理,小例子实现的功能很少,希望对各位有所帮助
傻瓜式制作远控
09-15
远控软件,自己的远控制作,使用易语言编译,免杀的话,自己下载免杀软件 远控软件,自己的远控制作,使用易语言编译,免杀的话,自己下载免杀软件
VBS蠕虫病毒分析研究及防护措施
12-25
VBS蠕虫病毒分析研究及防护措施 只有有vbs代码段分析说明,文字描述,和预防vbs病毒措施
针对VBS远控木马的技术分析
chengfangang的专栏
10-28 1815
我们团队最近捕获到一个vbs后门脚本,发现比较有意思,根据以往遇到的脚本,绝大多数都是蠕虫、下载者(从木马服务器下载一个远控)这类或者是配合木马本身做自删除中间文件,极少遇到本身就是后门或是远程控制类木马,原因是这类木马的局限性较大,一些复杂功能不能完整编写。简单分析下。 木马基本信息 MD5:0ad2a50ac1a1a98ce3db134e795e2974 大小:97,525 字节
一个 VBS 写的 Base64 + UUE 编码程序源码,可自定义编码表
编程路
07-08 1万+
以下内容仅作为 http://topic.csdn.net/u/20090707/00/0b3b4c31-8cef-4bd2-817e-4a2a445e8b87.html?seed=1787678774之素材,不代表其他含义。今天做了个Base64编码程序,本想将二进制文件编码后可以直接在论坛或Blog上发布,而不用再担心不能上传附件的问题,当然了,只是针对小文件而言,超过几M的大文
VB、VBS、VBA 、ASP 的 UTF-8 base64 实现
编程路
05-24 916
向前一直在用的Base64编码(https://blog.csdn.net/jessezappy/article/details/53561739?utm_source=blogxgwz5),一切正常,这几天有个项目需要用UTF-8 编码base64 ,随即试了一下,发现结果不同,检查才发现,原 base64 编码使用的是 unicode(GB2312) 数据进行编码的,于是找了个字符串 unicode(GB2312) 转 UTF-8 的函数改造了一下,重新打造了个 VB 的 base84(ut...
一例H-worm vbs脚本分析
好好学习,天天向上
04-14 732
经过分析,这个样本的主要逻辑如下图所示,这是一个木马,通过U盘传播,感染主机后要定时向后台请求命令执行,通过CC域名可能匹配到该样本属于H-worm家族。用notepad++打开脚本后,发现这是一个混淆后的脚本,主要的代码在anas变量中。参考上面的逻辑编写python脚本对anas变量进行去混淆。详细的分析结果见代码注释。代码中主要的函数功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值