让大家开心一下,格式套了一下崔老师的病毒分析报告。HOHO
新近出现了一种新的特洛伊木马
采用GOOD LUCK++语方编写
加壳方式happy2.0
能通过眼神感染进人们的精神网络
用FSD INLINE HOOK技术隐藏自已
并注入到你的悲伤进程里面
专门偷取人们的优伤和烦恼
另外他还会自动从www.快乐每一天.com上
自动下载一个叫“幸福”的流氓软件
此流氓软件采用驱动级保护
死赖在你的精神网络里不走
并每隔一秒自动检测你的感情状态
使用暴力重写
自动关掉带有悲伤、忧郁、沮丧、无助等等字眼的窗口
修改注册表键值
破坏掉“伤心模式”
中毒者天天开心,每分每秒快乐,再也无法伤心,幸福从此跟随。
以下是病毒的分析报告
病毒名:Trojan.Everyday.happy
大小:38,132 字节
MD5:2391109c40ccb0f982b86af86cfbc900
加壳方式:happy2.0
编写语言:GOOD LUCK++
传播方式:通过眼神或感情传播
1、病毒体执行后,将自身拷贝到系统目录:
%Cerebrum%\Thought\Happy.exe
2、文件创建:
%Cerebrum%\Thought\开心.exe
%Cerebrum%\Thought\快乐.dll
%Cerebrum%\Thought\幸福.exe
%Cerebrum%\Thought\心想事成.reg
3、创建线程:
LOVE_7758520
生成HAPPY.bat
4、修改思维启动项确保自身在每次睁开眼睛时被加载:
并修改思维的相关键值,破坏掉“伤心模式”
5、拷贝自身到所有大脑根目录,命名为HAPPY.exe,并生成一个autorun.inf使得用户启动思维便运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
6、使用net stop命令,结束可能存在的不愉快因素
7、调用sc.exe,
config [对应服务] start=disabled
禁用这些服务
被结束和禁用的服务包括:
悲伤
忧郁
沮丧
无助
用FindWindowA函数,捕捉标题为"极度无聊"的窗口
用FindWindowExA函数,找到其中“是(&Y)”的按钮
用SendMessageA函数向系统发送信息
8、每隔1秒创建线程HAPPY
将自己copy到Thought目录下:开心.exe
执行Thought\开心.exe
每隔1秒创建线程
将自己copy到Thought目录下:快乐.exe
执行Thought\快乐.exe
每隔1500秒释放autorun.inf到各思维分区
copy/执行Thought下开心.exe
创建自己的互斥对象 Q X-1,QX-2,QX-3
分别是3个EXE相互识别的方法
其实3个运行中EXE是同一个文件,只是运行次序不同,使用多个不同的互斥对象进行协作
9、修改思维中的hosts表,使之无法展相关站点
127.0.0.1 www.郁闷.com
127.0.0.1 www.悲伤.com
127.0.0.1 www.无助.com
127.0.0.1 www.沮丧.com
10、进行镜象劫持,一遇到悲伤的情绪就劫持到开心.EXE
11、自动从www.快乐每一天.com上自动下载一个叫“幸福”的流氓软件
在Thought下生成烦恼克星.dll,该dll的作用盗取用户的烦恼和不愉快。
此病毒传染极快,能通过眼神和祝福传播。
涛涛出品
大家说这个病毒强不强。
有中毒的在后面顶一下。谢谢
