wukill是一個比較老的病毒了,又叫殺手吳,“烏客”病毒,相信以前搞病毒分析的安全研究員應該都分析過它。目前很多個人用戶電腦上應該很少會感染這個病毒了,但是可能有一些企業用戶還是會感染這個病毒,因為這個病毒具有一定的迷惑性,一不小心就會雙擊運行起來,尤其是使用windows xp系統的企業用戶。最近就有企業用戶感染了這個病毒,現將分析過程記錄下來,供大家參考,如有不妥之處還請指出。
0x01 概述
該病毒最顯著的特點就是當天如果是28號,無論你復制什么內容的時候粘貼板內容都會變成Hello!,而且它的圖標是Windows xp下的文件夾圖標非常相似。雖然并無較大的實質性危害,但是泛濫起來還是挺讓人膈應的。其圖標如下:
我們通過查看樣本中的字符串可以發現有wukill字樣,這也是該病毒名稱的由來:
0x02 詳細分析
首先查殼:
發現該樣本是使用VB語言編寫所生成的P-code,那我們就直接用VB Decompiler反編譯。
該樣本首先會將自身拷貝到C:WINDOWSMsDoStray.com,并通過設置注冊表HKEY_LOCAL_macHINESOFTWAREMicrosoftWindowsCurrentVersionRun進行開機自啟動,以實現持久化駐留,該注冊表項的值為KaV3000XP。并且還通過修改資源管理器對應的注冊表以達到隱藏文件后綴名的效果。
第一次運行時,還會彈窗出現如下內容:
將自身復制到C:WINDOWS下system、web、fonts、temp、help多個文件夾中,保存為document.exe的文件。如果當天是28號,在過了9:30以后,將剪貼板內容清空后設置為"Hello!"。
搜索outlook收件人,嘗試發送郵件,主題為“您要的資料”,內容為“您要的資料在document文件夾中,打開可以看到內容。”,附件為病毒的郵件,以此達到通過郵件傳播的效果。
通過字符串拼接一個vbscript腳本,釋放folder.htt文件:
釋放desktop.ini,并將其設為隱藏:
具體更加詳細的內容和行為可以通過使用OD調試進行分析得到,我這里就不過多分析了。
0x03 wukill病毒的清理
當然,最好最直接的辦法就是使用一個靠譜的殺毒軟件全盤查殺,另外比較重要的一點就是要培養企業用戶的安全意識,已經有很多公司都在做一些公司內部的釣魚測試。對于病毒的防范來說也比較重要,比如對于這類偽裝成文件夾的病毒要提醒用戶關注文件的類型:
