对一个老病毒wukill的简单分析

wukill是一个比较老的病毒了，又叫杀手吴，“乌客”病毒，相信以前搞病毒分析的安全研究员应该都分析过它。目前很多个人用户电脑上应该很少会感染这个病毒了，但是可能有一些企业用户还是会感染这个病毒，因为这个病毒具有一定的迷惑性，一不小心就会双击运行起来，尤其是使用windows xp系统的企业用户。最近就有企业用户感染了这个病毒，现将分析过程记录下来，供大家参考，如有不妥之处还请指出。

0x01 概述

该病毒最显著的特点就是当天如果是28号，无论你复制什么内容的时候粘贴板内容都会变成Hello！，而且它的图标是Windows xp下的文件夹图标非常相似。虽然并无较大的实质性危害，但是泛滥起来还是挺让人膈应的。其图标如下：

我们通过查看样本中的字符串可以发现有wukill字样，这也是该病毒名称的由来：

0x02 详细分析

首先查壳：

发现该样本是使用VB语言编写所生成的P-code，那我们就直接用VB Decompiler反编译。

该样本首先会将自身拷贝到C:WINDOWSMsDoStray.com，并通过设置注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun进行开机自启动，以实现持久化驻留，该注册表项的值为KaV3000XP。并且还通过修改资源管理器对应的注册表以达到隐藏文件后缀名的效果。

第一次运行时，还会弹窗出现如下内容：

将自身复制到C:WINDOWS下system、web、fonts、temp、help多个文件夹中，保存为Document.exe的文件。如果当天是28号，在过了9:30以后，将剪贴板内容清空后设置为"Hello!"。

搜索outlook收件人，尝试发送邮件，主题为“您要的资料”，内容为“您要的资料在document文件夹中，打开可以看到内容。”，附件为病毒的邮件，以此达到通过邮件传播的效果。

通过字符串拼接一个vbscript脚本，释放folder.htt文件：

释放desktop.ini，并将其设为隐藏：

具体更加详细的内容和行为可以通过使用OD调试进行分析得到，我这里就不过多分析了。

0x03 wukill病毒的清理

当然，最好最直接的办法就是使用一个靠谱的杀毒软件全盘查杀，另外比较重要的一点就是要培养企业用户的安全意识，已经有很多公司都在做一些公司内部的钓鱼测试。对于病毒的防范来说也比较重要，比如对于这类伪装成文件夹的病毒要提醒用户关注文件的类型：