瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于猫叔的那个抓狂的病毒的补充分析

1   1  /  1  页   跳转

关于猫叔的那个抓狂的病毒的补充分析

收藏
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-08-03 17:21 | 只看楼主 短消息 资料
字号: 1楼

关于猫叔的那个抓狂的病毒的补充分析

样本来自baohe 我把他补充详细一点
此病毒完全是一个恶搞系统的病毒
症状如下:1.修改系统管理员密码
2.破坏显示隐藏文件
3.劫持regedit等系统重要组件
4.把桌面的颜色改为黑色
5.鼠标左右键颠倒

File: svchost.exe
Size: 16384 bytes
MD5: 997BC73908AF02DBDE0E3DB5DD22232E
SHA1: 93474257FF4809102928A728E85D256CE6D07A03
CRC32: 0FB59CF3
病毒名称:Joke.Win32.BlackScr.a(瑞星)

生成如下文件
C:\Program Files\ winlogon.exe
C:\Program Files\cmd.exe
C:\Program Files\regedit.exe
每个磁盘分区下生成一个 autorun.inf和一个svchost.exe

修改

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folde

r\Hidden\SHOWALL\CheckedValue 值为0x00000001
破坏显示隐藏文件

添加注册表项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\cmd.exe指向

C:\Program Files\cmd.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\regedit.exe
指向C:\Program Files\regedit.exe
劫持了cmd 和regedit

增加键HKLM\SYSTEM\MicroSoft\U7070

增加HKLM\SOFTWARE\Classes\*\shell\刷新(&F)\command\ 指向C:\Program

Files\ winlogon.exe 这个键值具体含义不懂 是不是刷新就自动运行病毒?还

请各位指教

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
下面添加
LegalNoticeCaption,Scharz Adler Notice:
LegalNoticeText  (不过虚拟机里未实现)
内容:

1.以此病毒纪念7.7事变70周年!

2.振兴中华,从我做起! 坚决抵制盗版!

3.盗版猖獗,危害国家! 爱国者不用盗版!

4.请使用正版Windows! Windows是最优秀的操作系统!

5.请使用正版杀毒软件!

6.请订阅<<电脑报>>学习计算机使用技巧!减少中毒概率!

Scharz Adler , Silent Hunter!

其他行为:
使用net user "Administrator" FREEDOM 命令为Administrator账户添加

FREEDOM的 密码
颠倒鼠标左右键
屏幕变黑

解决方法:
可能此时你的鼠标比较不适应,而且屏幕可能一片黑色,凑活点吧
操作步骤
1.鼠标左键单击桌面 属性
外观 色彩方案 下拉箭头里随便选一个 然后点击应用
过一小会儿 桌面就回来了

2.然后打开控制面板 切换到经典菜单
鼠标>鼠标键配置>拔切换主要和次要按钮的钩去掉

3.下载Icesword这个工具
http://www.onlinedown.net/soft/53325.htm
选择左下角文件 按钮 删除如下文件
C:\Program Files\ winlogon.exe
C:\Program Files\cmd.exe
C:\Program Files\regedit.exe
删除每个磁盘分区下的autorun.inf和svchost.exe
还是利用Icesword这个工具
注册表
展开HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
删除cmd.exe和regedit.exe的子键

4.把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adv

anced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

至于windows密码的问题 如果你在不知道他修改成什么密码的时候 只能用WinPE

光盘启动 然后用里面的密码修改工具修改了 推荐深山红叶系统工具盘 用其启

动计算机 进入PE系统 可以利用里面的密码修改工具Locksmith修改密码

附件附件:

下载次数:303
文件类型:image/pjpeg
文件大小:
上传时间:2007-8-3 17:21:32
描述:



最后编辑2007-08-03 18:38:47
分享到:
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-08-03 17:21 | 只看楼主 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:264
文件类型:image/pjpeg
文件大小:
上传时间:2007-8-3 17:21:51
描述:
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-08-03 17:22 | 只看楼主 短消息 资料
字号: 3楼

图3

附件附件:

下载次数:263
文件类型:image/pjpeg
文件大小:
上传时间:2007-8-3 17:22:04
描述:
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-08-03 17:22 | 只看楼主 短消息 资料
字号: 4楼

图4

附件附件:

下载次数:300
文件类型:image/pjpeg
文件大小:
上传时间:2007-8-3 17:22:19
描述:
gototop
 
神一样的人
头像
初生襁褓狮
  • 帖子:23
  • 注册: 2007-07-08
  • 来自:
发表于: 2007-08-03 17:28 | 短消息 资料
字号: 5楼

挺 麻烦的....
gototop
 
zzh220
头像
自信弱冠狮
  • 帖子:356
  • 注册: 2007-02-19
  • 来自:广东中山
发表于: 2007-08-03 17:56 | 短消息 资料
字号: 6楼

这个病毒太可恶拉
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-08-03 18:40 | 短消息 资料
字号: 7楼

引用:
【newcenturymoon的贴子】图4
………………

不错!
顶你一下。
不是水你啊
非管理员帐户也有其设置的密码,也是FREEDOM
gototop
 
火影忍者
头像
横据古稀狮
  • 帖子:7855
  • 注册: 2006-06-29
  • 来自:火星
发表于: 2007-08-03 18:49 | 短消息 资料
字号: 8楼

刚才在你博客里看到了你写的分析了。。。~~
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT