材鸟 发表于 2017-5-13 22:06

一个易语言写的病毒,详细分析

本帖最后由 材鸟 于 2017-5-15 19:52 编辑

这个东西是一个敲竹杠的,运行后锁机
上次在某群问某问题,某人发的一个相关的工具.EXE!然后下载来后就中招了
请注意!!!!!我没有源码!!!!!!下文都是通过Ollydbug分析的!样本链接:https://share.weiyun.com/777ffc0ca03cfd4b9c7b59ab7a87816f (密码:Vr4b)

分析行为:

检测是否被调试4013B9

获取版本,比较是否新版 4014AA

获取外网IP及IP归属地

判断归属地是否 内蒙古【是则退出,否则继续】

检测 360Tray.exe(360) QQPCTray.exe(电脑管家)
kxetray.exe(金山毒霸) PowerRemind.exe(影子系统)
是否运行,是则提示用户关闭

检测影子系统目录及桌面是否存在游戏菜单.* //判断运行环境是否虚拟环境,例如网吧

检测 vmtoolsd.exe进程及目录 401DCF//是则提示一串不友好的信息

检测 破解工具包.exe吾爱破解工具包.exe 及桌面是否存在 破解工具包.*

检测 桌面是否存在 XueTr.*

屏幕截图.png,放C:\WINDOWS\ 再转.jpg

将自身添加到系统启动项里

篡改系统关联图标及
修改注册表 SOFTWARE\Classes\*file\shell\open\command 值(打开以下类型文件都指向病毒,都会运行成病毒)EXE(Yule6.ico) JPG(Yule1.ico) PNG(Yule2.ico) BMP(Yule3.ico)
ICO(Yule4.ico) GIF(Yule5.ico) BAT(Yule4.ico) COM(Yule3.ico)
CMD(Yule2.ico) VBS(Yule1.ico)
DLL SYS INI LNK MP3 MP4 WAV WMV AVI ZIP RAR TXT SCR ISO GHO BIN
7Z JS(Yule.ico)

结束taskmgr.exe explorer.exe进程

桌面创建300个名为 UR NEXT UR NEXT UR NEXT 的文件

创建窗口,窗口启动代码为锁机相关,共有2道锁   硬盘锁   WINDOWS登陆锁
不继续贴了,给要玩的朋友玩。总结就是运行后锁机,敲诈。

解决方法:
以下 日期时间为软件运行的那一刻的时间,秒数和日期在病毒提示的随机码中已经给出,其他自己推算

随机码 = 秒数+649+日期                                          // 算法代码段:40C65D


恢复码 = 秒数+日期+3+小时+1


硬盘逻辑锁 = 秒数+706424


WINDOWS登陆锁 = 日期+小时+分钟+秒数+.8




病毒中包含的一些信息(希望中过的朋友可以找到此贴进而解决,如有违规请版主进行删除)



发件邮箱:
SMTP地址: smtp.exmail.qq.com
账号: admin@yuleo.cc
密码:xwG0D1qrUbYXWVv7

收件邮箱:
admin@yuleo.cc
2669771000@yuleo.cc

QQ:971233666
QQ:17366100
域名 yuleo.cc


有点尴尬{:1_936:},我都是一路跟下去的,代码什么的都在临时笔记里删除了(个人习惯是有用的记下,用完删掉,只求结果)

a54268 发表于 2017-5-14 10:39

滑稽病毒

709283675 发表于 2017-5-13 22:31

以前玩过类似的会烧板子的,和老师一起写,然后电脑打开就烧主板,废了学校好几台垃圾电脑,但然没有过病毒检查不会,就用的电脑杀毒软件删掉开的不然秒杀的

hyh0101 发表于 2017-5-13 22:14

还是滑稽好看   #滑稽#

失业 发表于 2017-5-13 22:37

楼主那个是中完毒的桌面?

Waylee 发表于 2017-5-14 00:08

真是有趣的..太邪恶了

戈登走过去 发表于 2017-5-14 06:34

涨见识了,易语言的病毒这么吊逼,

一瓢清凉水 发表于 2017-5-14 09:13

通过学习这个,应该懂得其它的,学会举一反三,才是进步的

治愈先生 发表于 2017-5-14 09:14

这应该不算是病毒吧,最多就是个恶作剧

3657156 发表于 2017-5-14 10:21

这是恶作剧吧
页: [1] 2 3 4 5 6 7
查看完整版本: 一个易语言写的病毒,详细分析