亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

wukill是一個比較老的病毒了，又叫殺手吳，“烏客”病毒，相信以前搞病毒分析的安全研究員應(yīng)該都分析過它。目前很多個人用戶電腦上應(yīng)該很少會感染這個病毒了，但是可能有一些企業(yè)用戶還是會感染這個病毒，因為這個病毒具有一定的迷惑性，一不小心就會雙擊運行起來，尤其是使用windows xp系統(tǒng)的企業(yè)用戶。最近就有企業(yè)用戶感染了這個病毒，現(xiàn)將分析過程記錄下來，供大家參考，如有不妥之處還請指出。

0x01 概述

該病毒最顯著的特點就是當(dāng)天如果是28號，無論你復(fù)制什么內(nèi)容的時候粘貼板內(nèi)容都會變成Hello！，而且它的圖標(biāo)是Windows xp下的文件夾圖標(biāo)非常相似。雖然并無較大的實質(zhì)性危害，但是泛濫起來還是挺讓人膈應(yīng)的。其圖標(biāo)如下：

我們通過查看樣本中的字符串可以發(fā)現(xiàn)有wukill字樣，這也是該病毒名稱的由來：

0x02 詳細(xì)分析

首先查殼：

發(fā)現(xiàn)該樣本是使用VB語言編寫所生成的P-code，那我們就直接用VB Decompiler反編譯。

該樣本首先會將自身拷貝到C:WINDOWSMsDoStray.com，并通過設(shè)置注冊表HKEY_LOCAL_macHINESOFTWAREMicrosoftWindowsCurrentVersionRun進(jìn)行開機(jī)自啟動，以實現(xiàn)持久化駐留，該注冊表項的值為KaV3000XP。并且還通過修改資源管理器對應(yīng)的注冊表以達(dá)到隱藏文件后綴名的效果。

第一次運行時，還會彈窗出現(xiàn)如下內(nèi)容：

將自身復(fù)制到C:WINDOWS下system、web、fonts、temp、help多個文件夾中，保存為document.exe的文件。如果當(dāng)天是28號，在過了9:30以后，將剪貼板內(nèi)容清空后設(shè)置為"Hello!"。

搜索outlook收件人，嘗試發(fā)送郵件，主題為“您要的資料”，內(nèi)容為“您要的資料在document文件夾中，打開可以看到內(nèi)容。”，附件為病毒的郵件，以此達(dá)到通過郵件傳播的效果。

通過字符串拼接一個vbscript腳本，釋放folder.htt文件：

釋放desktop.ini，并將其設(shè)為隱藏：

具體更加詳細(xì)的內(nèi)容和行為可以通過使用OD調(diào)試進(jìn)行分析得到，我這里就不過多分析了。

0x03 wukill病毒的清理

當(dāng)然，最好最直接的辦法就是使用一個靠譜的殺毒軟件全盤查殺，另外比較重要的一點就是要培養(yǎng)企業(yè)用戶的安全意識，已經(jīng)有很多公司都在做一些公司內(nèi)部的釣魚測試。對于病毒的防范來說也比較重要，比如對于這類偽裝成文件夾的病毒要提醒用戶關(guān)注文件的類型：