與【virus.vbs.writebin.a】蠕蟲病毒搏斗的故事

與【virus.vbs.writebin.a】蠕蟲病毒搏斗的故事！
英文名:vi,vbs.a
中文名:小紅傘(變種)
種類:蠕蟲病毒
危險級別:4級
簡介:virus.vbs.writebin.a是一種破壞力極強的病毒，通過vbs執行，偽裝系統行程，一但計算機或服務器(網吧，學校，醫院等為重點攻擊物件)【包含linux】一但被植入，病毒會利用現有TCP及UDP連接，包裝成該行程將腳本植入局域網下所有計算機，該病毒在短時間內迅速掃描本地所有后綴名為(rar,zip，exe，html)，并將自身腳本代碼植入程式，程式一但啟動病毒將自動觸發病毒腳本，并將已植入的檔案權限改寫為只讀權限，并且實時掃描外部接入的可寫磁盤(如U盤)，并植入相應腳本運行后會自動感染計算機中所有以HTM、EXE、DLL后綴的檔案，在其未尾加上病毒代碼，同時自動感染所有插入的可讀移動磁盤，建立autorun.inf檔案和RECYCLER檔案夾，在RECYCLER檔案夾其下留下病毒檔案，檔案名為隨機字串符。

傳播途徑:各大軟體下載站，該病毒會潛伏在zip
包內，一但解壓就會觸發病毒腳本。

故事說起來是2019-5-18的晚上，我正在刷一個中國移動的機頂盒，然后需要下載TTL的驅動，然后去某度了一下，隨便找了個某c6下載站下了一個，一解壓就360殺毒就一直在提醒已成功攔截，(因為自己也是開發者的原固，是開發者的都知道用易語言開發的軟體360會報毒)，于是果斷關了360，接下來感覺有點晚了，然后電腦一關機就睡覺了。
?2019-5-19早晨，我一如既的打開電腦，準備敲代碼！一啟動arduino ide突然彈出一個無權限訪問，然后莫名其妙的就顯示(已停止運行)，偶然發現360衛士和360殺毒都掛了。心想感覺不妙。于是用管理員身份和兼容版運行，發現都是同樣的結果。于是我打開了遠程連接log日志(因為之前用電腦來當遠程服務器的，所以果斷關閉了防火墻【以便TCP連接傳入】，之后就忘關了！用了花生棒做的埠映射，沒作任何安全保障【因為模塊處于除錯階段就沒設SSL協議】)，發現log日志里有22個同一IP接入過，查了一下這IP，發現是意大利的【果斷推出結論黑客用的是外部ip轉發形式黑入的】，正好這時發現網路下速度3MB/s左右(而且我什么軟體都沒打開)，果斷想到黑客可能在監控我電腦，而且在向我電腦植入什么腳本，于是我打開了檔案管理(我的電腦)，意外發現當前有一個遠程桌面連接！(喔！有搞頭)。于是便打開該遠程桌面的屬性，還是老提示(無權限訪問)，接下來我打算考慮把重要的檔案備份下來然后重裝系統(老想法)，于是我插上了個8G的U盤，想著先把資料放我朋友電腦上存著，然后好用u盤做個啟動盤。不料，U盤一插上我朋友電腦上，(喔)他電腦先是卡了個大概30秒左右，然后360衛士掛了，跟我電腦一樣了。突然有個靈感，感覺這病毒不簡單。于是網上查了一下類似于此病毒的資料，發現某度知道里有人提到過這類似的病毒。于是打開性能查看器，看到CPU占用率98%(樓主我用的I5第8代的處理器)，記憶體80%(樓主我用的12GB運行記憶體)，那么高的占用率(就只在桌面而已嘞)，心想先嘗試找到的這個行程再說(行程是被隱藏的，也可能是偽裝成系統行程了)，于是想起了以前寫荒野行動外掛用到的在某度云上。于是趕緊去了網吧，下載了一份然后用易語言寫了一個句柄搜索軟體。隨后先運行了句柄軟體，發現跟其他軟體一樣。都彈出了相應的提示(已停止運行)，于是想了想，現在系統肯定被病毒霸占了。于是便找朋友的軟體做了個U深度啟動盤。進到PE后發現每個盤里都有【autorun.inf檔案和RECYCLER檔案夾】，用手機從網上查了一下，得出此類檔案為系統回收站檔案夾。心想該病毒肯定是利用此型別檔案來做偽裝的(偽裝成類似檔案在系統正常啟動的狀態里是沒有洗掉的。而且此檔案在系統正常啟動情況下是根本看不到的[隱藏的])【心想這名黑客絕對不簡單】。于是我在PE環境下嘗試把該檔案改成txt后綴，用記事本打開(該檔案)，發現里面全部都是亂碼的。我用某度查了一下，發現這檔案原本代碼就幾句【是用來記錄回收站的檔案頭的】，心想感覺可以直接刪掉【個人比較潔癖，所以刪回收站里的檔案經常清空】，所以果斷的給刪了。因為之前查過此檔案會通過vbs感染所有的exe,zip,rar,html檔案。于是我找到之前我自寫的一個Demo.html(自寫的測驗檔案，就幾行簡單的代碼)，于是我改寫了后綴名為txt，同樣用記事本打開。發現里面被添加了很多vbs的代碼[%RECYCLER%autorun.inf%]。發現這絕對是病毒留下的。想想一啟動的話，PE肯定會涼[不過pe是在電腦的boot記憶體里，是一個格外的磁區，而且這電腦一關機后，PE會自動格式化]。所以覺得應該沒多大事。于是果斷啟動了此檔案，發現彈出了n多個[缺少C++2008運行環境"%Sysme.win 32(x86)"]，突然想起我的句柄軟體還沒用呢，于是插上U盤開始把句柄搜索軟體[自己寫的]和記憶體搜索軟體[在網吧順便下的，心想可能會用到]，于是先啟動句柄搜索軟體，發現vbs行程在改寫檔案權限和系統權限(由于PE系統下沒有c++2008的這個運行環境的原因，所以軟體只能卡在最后執行步驟上)，果斷判斷這軟體依賴于C++2008的運行環境，大腦突然轉出個想法(因為自己也是入門級C++的)。心想先把這病毒代碼讀出來看看(由于之前用記事本打開是亂碼的【簡單的判斷了一下，可能是編碼不正確的原因吧】(因為之前自己也做過軟硬體開發的，因為硬體模塊與手機通信亂碼的話一定是波特率導致編碼不一致的問題))，所以重新把病毒腳本打開(并進行了轉碼(發現居然用的是utf-16的編碼))，接下來就是讀代碼了。發現前面用的是lua代碼，后面用的都是C++代碼。經過仔細觀察發現他是用的lua腳本來獲取系統權限，和偽裝行程的。接下來為了防止病毒代碼泄露，就不詳細給大家說了(病毒得到權限后，首先第一步就是給usb驅動添加病毒腳本，【一但有可讀設備插入自動復制病毒腳本到該設備上】，接下來就掃描所有磁盤并將病毒代碼逐一復制到每個磁盤下。第三步就是掃描所有后綴名為exe,zip,rar,html將病毒腳本統統植入，第四步就是關閉防火墻，各大安全軟體等，然后開始掃描局域網下共享的計算機，逐一植入，第五步就是開放被感染電腦的FTP服務器，遠程桌面等。)于是我跟著病毒腳本的思路改寫了病毒代碼(簡單描述)，心想這代碼不用編譯？？？于是我再仔細查了一下，發現腳本里有呼叫一個exe的檔案，果斷判斷這家伙肯定是用來編譯這腳本的。于是我保存了改好的代碼，重新開機運行了一下，大概等了個1分鐘左右，然后電腦就藍屏了。我嘞個乖乖啊，看了一下藍屏故障代碼，發現是系統注冊表被洗掉導致的。于是只有再進PE，檢查了一下D,E,F,H盤發現病毒腳本都被終結了。接下來就是重裝系統了(重裝系統就不說了，太簡單了)，裝完系統后用卡巴斯基(大家肯定會想為啥不用360，我只能回答360是個廣告辣雞，一點用都沒有)全盤掃描了一下，發現完美修復了！
?所以小編在這里告訴各位，珍愛電腦生命，遠離軟體下載站。

uj5u.com熱心網友回復：

virus vbs writebin a 我現在中的是這個病毒，殺了還有殺了還有不知道怎么解決

uj5u.com熱心網友回復：

360急救箱用過沒？

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/38442.html

標籤：云安全

上一篇：網路模擬器Cisco Packet Tracer 好還是GNS3好？

下一篇：雙因素方差分析后，怎樣做多重比較