文章关键字 ‘病毒’

又一个VBS病毒源码的解密

2010年07月23日,星期五

解密暴风一号病毒的时候,曾经搜索到看雪的一个帖子,楼主说的也是暴风一号的解密。但是下面有人回了一个

对于病毒来说这个代码写得很啰嗦,没什么功能,连后台都没有,发布出去就是个死马
该让别人看不懂的地方一点也没有处理 鉴定完毕
你兴趣把这个解出来http://www.cn-dos.net/forum/viewthread.php?tid=39994&fpage=1&highlight=vbs
带后台的,支持远程后台控制VBS更新  支持后台命令让VBS操作你所实现的命令 比如:根据判断进程来下载木马。
这个VBS加了好几层密,全是手动加密 最后一层有点小难度,解完后的原码,你根本看不懂,不花点时间做点笔记根本不知道是什么意思

当时点进去看了一下,尝试着解密了一下,发现没有想象中的简单,就不管了。最近闲得慌,又拿出来看了一下,这次终于解密出来了。这个VBS病毒十分的强大,嵌套了好几层的Execute语句,即使最后解密出来的明文都很难看得懂,暴风一号和它比起来真的是小巫见大巫了。写病毒的人绝对是VBS高手中的高手,解密完这个病毒,我再也不敢说我会VBS了。

下面是解密过程,源代码和中间代码下载地址在文章末尾给出,请先下载再往下看。解密的主要思路是把Execute语句用下列代码替换

Dim fso, file
Set fso = CreateObject("scripting.filesystemobject")
Set file = fso.OpenTextFile("filename.vbs",2,True)
file.Write code
file.Close

其中filename为文件名,code为要Execute的代码。

(更多…)

暴风一号病毒VBS源码解密

2010年06月29日,星期二

一个寂寞的人写的VBS病毒,即网上所谓的1KB文件夹快捷方式病毒。只不过是恶作剧程序罢了,只能拿来吓吓不明真相的同学,根本不算严格意义上的病毒,不过为了方便,我在文中仍然称之为病毒。话说回来,我第一次看到这个程序的时候震惊了一下,因为第一眼看上去貌似全部都是注释,全是注释怎么可能执行呢,然后仔细一看,原来有一行没有注释,代码就是从这一行开始执行的。作者真是太寂寞了,写个VBS病毒还加密,VBS加密只能拿来骗骗杀毒软件,在人眼面前就没有任何秘密可言了。不过事实证明某些杀毒软件还是很好骗的,比如某款自吹永久免费的流氓软件,好像叫361还是什么来着,我不记得了。反正我直接双击病毒它不报毒(注,不是我的电脑,我的电脑没有这种软件),然后双击根据病毒代码改写的专杀程序,弹出一个警告,笑死我了。

解密的方法很简单,只要弄清楚没有注释的那一行代码做了什么就行了。那么那一行做了什么呢?自己去看代码吧。简单的说,就是读取病毒自身,将注释解密以后得到最后的病毒代码,然后通过VBS的Execute语句执行解密后的病毒代码,同时变换加密后把新加密的代码写入源文件。所以,我们只要把最后的Execute语句改写输出语句,就可以得到病毒解密后的代码了。下面是我根据病毒代码改写的解密程序,只要把病毒拖动到解密程序上,就会在同一文件夹生成病毒解密后的代码。代码太长就不贴出来了,感兴趣的自己下载。不得不说,代码的写的很整齐,对学习VBS很有借鉴的价值。

警告:病毒源码仅供VBS学习之用,请勿非法使用,由于非法使用造成的后果与本人无关

解密前的暴风一号病毒(1KB文件夹快捷方式病毒)

[download id=21]

暴风一号病毒(1KB文件夹快捷方式病毒)解密程序

[download id=20]

解密后的暴风一号病毒(1KB文件夹快捷方式病毒)

[download id=22]

根据暴风一号病毒(1KB文件夹快捷方式病毒)源码改写的专杀程序

[download id=23]