浅析爱国大黑客病毒

文件名称:lonely.exe
CRC32:299DADAF
MD5:EFE22BBA1EBCB91208B2233C794877B8
SHA-1:52017B61E4B0576F913EBF7F1EEBD006FE8A77B4

浅析一个爱国大黑客的病毒木马
今天突然有人在我的群发了一个链接!!!

浅析爱国大黑客病毒 第1张

索性下载来看了看

0x01

浅析爱国大黑客病毒 第2张

没壳的话 直接上OD吧

0x02

获取USB设备使用信息

浅析爱国大黑客病毒 第3张

写文件c:\windwos\system\usb.bat

浅析爱国大黑客病毒 第4张

我找到了这个bat命令

浅析爱国大黑客病毒 第5张

关闭USB储存设备的盘符自动分配
干掉USB存储设备的作用文件(这里说明一下,USB存储设备的作用文件有两个,分别是usbstor.inf和usbstor.pnf)
禁止将电脑里的资料拷贝到USB存储设备,意思是把USB存储设备设置只读的,干成残废。 (也就是说,你也可用USB存储设备,但是不能往里边写内容)



关闭IE当前安全设置会使计算机有风险这个提示

浅析爱国大黑客病毒 第6张

写入MBR文件到c:\windows\system\

浅析爱国大黑客病毒 第7张

浅析爱国大黑客病毒 第8张

禁用任务管理器

浅析爱国大黑客病毒 第9张

浅析爱国大黑客病毒 第10张

遍历找到c:\Users\Administrator\DesktopLonely.exe

浅析爱国大黑客病毒 第11张

创建窗口( 有很多call了CreateWIndowExA 后边看GIF就懂了)

浅析爱国大黑客病毒 第12张

浅析爱国大黑客病毒 第13张

浅析爱国大黑客病毒 第14张

这次终于写对了奥
遍历找到c:\Users\Administrator\Desktop\Lonely.exe

浅析爱国大黑客病毒 第15张

写开机自启动

浅析爱国大黑客病毒 第16张

浅析爱国大黑客病毒 第17张

创建一个窗口,指定了名称

浅析爱国大黑客病毒 第18张

也就是运行之后的

浅析爱国大黑客病毒 第19张

浅析爱国大黑客病毒 第20张

跟上边一样 也是创建一个窗口,不过后边会用GIF展现给大家看

浅析爱国大黑客病毒 第21张

要求用户管理员模式运行

浅析爱国大黑客病毒 第22张

使用taskkill 结束 360木马防火墙模块

浅析爱国大黑客病毒 第23张

一堆神仙操作

浅析爱国大黑客病毒 第24张

浅析爱国大黑客病毒 第25张

我看到这都哭了 :(
现在去看看他的捆绑吧 一共有三个捆绑 已知又一个是锁机

浅析爱国大黑客病毒 第26张

先看MBR

存个快照 运行看看

双击后啥玩意也没有
但是关机后

浅析爱国大黑客病毒 第27张

但是也无法输入任何东西

那先看看另外两个捆绑吧!

浅析爱国大黑客病毒 第28张

0x03

用一句话概况就是改,删,锁,就完事了奥~
至于他的MBR锁了啥我相信已经不重要了,因为你运行这个病毒的那一刻,你的系统文件已经删完了:)

浅析爱国大黑客病毒 第29张


GLHF!