基本思路
1. 通过WEB感染 自动运行脚本,生成病毒文件并且执行。
2. 执行之后 执行以下动作
a) 遍历OE 搜索Email并且发送带病毒的邮件。
b) 遍历Foxmail 搜索Email并且发送带病毒的邮件。
c) 在桌面生成txt文档,内容为宣传自己的网站。
d) 修改IE首页为指定地址。
e) 自我复制, 搜索.htm .html,加入感染的代码。 //客户要求取消
f) 反反病毒, 病毒执行之后自动杀死天网,Nortion,瑞星,金山等市面主流杀毒程序和防火墙。
g) 修改系统文件达到开机自动运行的效果。
h) 病毒主体可以从指定位置更新信息,比如宣传广告词等。
i) 自我隐藏 不在进程中显示病毒
3. 病毒也可以通过捆绑方式进行感染。eg. 插入其他可执行文件中
病毒结构
1. Web感染部分,这个部分利用系统漏洞直接在WEB上执行病毒体 (完成)
2. Email感染部分,这个部分通过EMAIL传播病毒,用户只要打开email就可以执行病毒体 (完成)
3. 病毒主体部分,这是病毒的心脏,由他来执行上面的8个操作
难点要点
1. 二进制文件文本化: 病毒的传播要利用脚本,也就是说要把病毒主体放入Html中。解决方法如下:
利用XX和BASE64编码 (解决)
2. 二进制文件解码的界面问题: 在把XX Code解码为BIN的时候,需要调用DOS SHELL, 如何不显示SHELL
窗口. (未解决)
参考文献
谁有让网页运行时自动打开.exe文件并执行的代码
http://bbs.logincom.com/bbs/cgi-bin/topic.cgi?forum=1&topic=366&start=0&show=
关于FileSystemObject对象
http://bbs.logincom.com/bbs/cgi-bin/topic.cgi?forum=1&topic=317
[讨论]VBS病毒的变形和加密
http://bbs.logincom.com/bbs/cgi-bin/topic.cgi?forum=1&topic=330
Microsoft IE MSXML XML文件解析跨站脚本执行漏洞
http://www.3w3.org/default.asp?id=seeText&N_Type=Hole&rid=5249
Internet Explorer file://请求绕过安全区域限制漏洞
http://www.3w3.org/default.asp?id=seeText&N_Type=Hole&rid=4990
Microsoft Outlook和Outlook Express远程任意程序执行漏洞
http://www.3w3.org/default.asp?id=seeText&N_Type=Hole&rid=4605
资料下载
编写的病毒演示
myVirus.rar
将2进制文件放在Html页面中
uuencode.rar
