瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 重写 调戏美女.exe (硬盘敲诈者)
mopery - 2007-1-20 8:05:00
http://forum.ikaka.com/topic.asp?board=28&artid=8252224
猫叔 写过了.. 但是跟猫叔 样本后看了看.. 感觉猫叔 那帖子分析写少了..特此写全..
顺带加上修复被此病毒删除的文件..

废话不多说开工..
调戏美女.exe 运行后释放文件
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\桌面\告诫.h
C:\Documents and Settings\用户名\Local Settings\Temp\E_4\krnln.fnr
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe

写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost.exe"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"

[HKCR\txtfile\shell\open\command]
"(默认)"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
正常值为 "(默认)"="%SystemRoot%\system32\NOTEPAD.EXE %1"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
showall 被删除..

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
explorer 新添加看不懂是撒玩意..

症状:下面有俩张图大家看看..还有就是 删除除系统盘以外的盘符数据..疯狂注销..


处理方法:
安全模式操作
删除文件
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\桌面\告诫.h
C:\Documents and Settings\用户名\Local Settings\Temp\E_4\krnln.fnr
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe

删除注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
删除 svchost.exe 键值..

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

修改注册表
[HKCR\txtfile\shell\open\command]
"(默认)" 修改为 "%SystemRoot%\system32\NOTEPAD.EXE %1"

随便在那个路径新键个 记事本 把下面红字 复制到记事本中..保存 然后把后辍改为 .reg 双击导入即可..

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

http://virusfans.135.hezu1.com/mopery/taskmgr.rar
下载..解压..把 taskmgr.exe 复制到 C:\WINDOWS\system32\ 路径..


C:\Documents and Settings\All Users\桌面\告诫.h
内容为
警告:
发现您曾使用盗版了的本公司软件,所以将您部份数据移到锁定了的扇区,若要解锁将文件释放,请电邮softwareinfo888@yahoo.com.cn购买相应的软件

敲诈者病毒作者 真TXX 没想象力..搞来搞去都是这样..
发E-mail 过去 200% 要钱..汇过去也没用..硬盘里的数据不知道被他丢那去了..
问了问小聪..
小聪说:"拿 FinalData 扫扫就能找到数据了..恢复一下就行.."

下文介绍下 FinalData 的用法..
下载地址:http://www.crsky.com/soft/963.html

下载后解压 运行 FinalData.exe 它会要你输入 key  打开 keygen注册机.exe 生成个key 填进去..
FinalData 运行后点下 打开 随变打开那个被此病毒删除数据的盘 然后此软件会开始搜索..耐心等待.. 搜索完成后.. 自己看看那些是 自己本来盘里的文件..右键 恢复一下即可..(被自己删除的一些文件也会找出来..)

FinalData 第一次接触..在虚拟机里试了试..可以找回数据.. 中这毒的可以试试..
-.- 如果没中别拿这软件乱完.. 出事后果自负..


这俩天疯狂写帖..真累..
郁闷...

附件: 632398200712080346.JPG
mopery - 2007-1-20 8:12:00


附件: 632398200712080444.JPG
mopery - 2007-1-20 8:12:00


附件: 632398200712080516.JPG
mopery - 2007-1-20 8:15:00
瑞星 卡巴 没反映..

有10来款报了..

发个E-mail 过去看看..



顺道问问..看看这敲诈者 目的是什么..
鸟儿天上飞 - 2007-1-20 8:21:00
让他删好了...偶们家电脑里面全是垃圾..自己懒的清理..免费清洁工 白用谁不用..


问个正事吧...这是什么服务..
[Cryptographic Machine / ClipArt][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\szdj.dll><N/A>
mopery - 2007-1-20 8:29:00
引用:
【鸟儿天上飞的贴子】让他删好了...偶们家电脑里面全是垃圾..自己懒的清理..免费清洁工 白用谁不用..


问个正事吧...这是什么服务..
[Cryptographic Machine / ClipArt][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\szdj.dll><N/A>
………………


删吧..反正不是好玩意..
高歌猛进 - 2007-1-20 8:41:00
所有打开的程序,以及名称含有特殊字符的文件不会删除,所以给文件改个名字也是一种保护方法
黑哥001 - 2007-1-20 9:37:00
不会吧,我的电脑们不要中这个东东呀,中了我又要累死了,我现在要管700多个儿子呀(儿子=电脑).郁闷.
水树雨下 - 2007-1-20 9:44:00
删别人数据要钱的都TXX是人渣
艾玛 - 2007-1-20 10:38:00
原文:http://hi.baidu.com/killvir/blog/item/21501a4ca15944f9d62afc64.html
硬盘敲诈者

调戏美女.exe
SIZE  : 62443 bytes file
SHA-160: 403BAF8C29CF13DD7AC169C743780FB4830CEB6D
MD5    : 72E9F8F925DF456DC96470FD64926403
CRC-32 : 12F831CC
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24
编写语言:Microsoft Visual C++ 6.0
传播方式:恶意软件

创建以下文件:
C:\Documents and Settings\用户名\Local Settings\Temp\E_4\krnln.fnr
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\桌面\告诫.h
d:\告诫.h

注册表创建修改:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost.exe"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
[HKCR\txtfile\shell\open\command]
"(默认)"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"

隐藏禁用文件夹选项,禁用开始菜单的关闭计算机/注销/运行/查找功能:
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidde
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoClose
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\StartMenuLogOff
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoRun
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFind

尝试运行等功能会出现以下提示:

警告:
发现您曾使用盗版了的本公司软件,所以将您部份数据移到锁定了的扇区,若要解锁将文件释放,请电邮softwareinfo888@yahoo.com.cn购买相应的软件

系统将注销!

原文:http://hi.baidu.com/killvir/blog/item/21501a4ca15944f9d62afc64.html
taylor05771 - 2007-1-20 10:52:00
狗屁的加密 就是 隐藏而已 一点新意都没有
偶的
总结:数据恶意加密的解密流程6.28修正(转贴需注明作者和来源)

照做就是


xsiiao - 2007-1-20 10:55:00
过路费
艾玛 - 2007-1-20 10:57:00
引用:
【taylor05771的贴子】狗屁的加密 就是 隐藏而已 一点新意都没有
偶的
总结:数据恶意加密的解密流程6.28修正(转贴需注明作者和来源)

照做就是



………………




我知道这个,正在叫MO测试呢呵呵


不知道会不会出损招,删除就删除了
taylor05771 - 2007-1-20 11:17:00
上次见过一个狠的  垃圾数据 填充扇区.....

不是专业的全息技术 是没恢复的可能
闪电风暴 - 2007-1-20 12:37:00
都在向"钱"看,晕
baohe - 2007-1-20 13:02:00
【回复“mopery”的帖子】
谢谢mopery指正。
今天重新看了一下这个“调戏美女.exe”,根据监控日志及本帖的内容,回头仔细检查了一下我的Tiny设置。发现:丢掉的内容基本上都是我自设的一些Tiny规则挡掉了。汗!!
看来,要观测病毒,我的Tiny规则设置要大改一下了。
mopery - 2007-1-20 13:10:00
引用:
【baohe的贴子】【回复“mopery”的帖子】
谢谢mopery指正。
今天重新看了一下这个“调戏美女.exe”,根据监控日志及本帖的内容,回头仔细检查了一下我的Tiny设置。发现:丢掉的内容基本上都是我自设的一些Tiny规则挡掉了。汗!!
看来,要观测病毒,我的Tiny规则设置要大改一下了。
………………





我一直记得猫叔 一句话..

玩毒 这些软件还是默认的来测更全些..

TINY 规则都没上.. ssm 也没怎么设置..
thull - 2007-1-20 15:16:00
偶学校原来有台机器 只要一开系统盘外的盘符就提示磁盘尚未格式化 是否格式化
通过资源管理器也是一样
一直没机会靠近那台机器 真不知道里面到底有什么
格式化……应该和这个也有一拼了
现在不在那间教室上课了 遗憾
baohe - 2007-1-20 15:33:00
引用:
【thull的贴子】偶学校原来有台机器 只要一开系统盘外的盘符就提示磁盘尚未格式化 是否格式化
通过资源管理器也是一样
一直没机会靠近那台机器 真不知道里面到底有什么
格式化……应该和这个也有一拼了
现在不在那间教室上课了 遗憾
………………

可能是硬盘分区表坏过,但没有完全修复。
建议你用DiskMan检查一下硬盘分区表。
thull - 2007-1-20 15:59:00
引用:
【baohe的贴子】
可能是硬盘分区表坏过,但没有完全修复。
建议你用DiskMan检查一下硬盘分区表。
………………

不是俺的机器 不管了 哈哈 弄坏了的话还得赔
学校的维护人员估计是会重装的 
安全防卫 - 2007-1-20 16:53:00
学习了.
版主提供的数据恢复工具挺好用的
这类病毒制作人真可误,拿别人的数据来玩...
zhuceyuan - 2007-1-20 17:32:00
我只能小心上网了.中了这样的毒,我自己一定是搞不好的.
学了很多,还是不大懂.
ljkhhgfd - 2007-1-20 17:45:00
能不能帮帮我呀
我的任务管理器中有3个svchost.exe进程
然后网络就不能连接了,只有结束其中两个才能上网,当时要是结束错了就自动关机了,是怎么回事呀?
spiritfire - 2007-1-20 17:56:00
赶紧学习了先!
安全防卫 - 2007-1-20 19:13:00
【回复“ljkhhgfd”的帖子】
扫个日志上来发个贴..XP系统有6-7个
mimi163000 - 2007-1-20 20:31:00
晕了,第一次见到这种病毒也真难缠啊!!我也很难搞,想些办法搞好
竹林ぁ风 - 2007-1-20 20:58:00
学习~~~~~~~~~
过客2007 - 2007-1-20 21:39:00
顶死楼主和10楼!!

真是太经典了!!

最怕遇到TMD无良黑客!把菜鸟的硬盘加密,又找俺们百度知道们.....

稀饭格盘的
青ぁ龙ぞ震⊙威 - 2007-1-20 21:46:00

UFO不幸外人 - 2007-1-20 22:06:00
希望有样本  哈哈
12
查看完整版本: 重写 调戏美女.exe (硬盘敲诈者)
© 2000 - 2026 Rising Corp. Ltd.