本帖最后由 willJ 于 2012-2-4 01:09 编辑
[文章作者]:willJ [作者邮箱]:466684954@qq.com [软件名称]: 中华黑豹增强版.exe [下载地址]:附件 [运行环境]:Windows xp sp3 [使用工具]:OD,PEID,winrar,解密脚本 [作者声明]: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
[详细过程]: 最近在逛卡饭的时候,发现有人发了一个中华黑豹增强版的病毒,以前貌似听说了这个病毒很厉害,于是下载下来看看,呵呵,发现这个病毒有点像恶搞程序,我也来记录下我分析的过程吧。 习惯,首先我在PEID中查壳: 我本以为是yoda的壳,于是用了很多 脱壳方法去脱,都没有脱下来,这里停了比较久的时间,后来我无意间载入了资源查看软件中,发现了些东西: 看见了吧,是个自解压,于是我自己压缩了一个自解压去比对,果然入口是一样的,以前自己也这么操作过,很快知道作者是怎么做的了,大家很奇怪为什么是自解压右键没有解压选项对吧?这个是因为作者对这个自解压做了操作,现在我们逆向把这个自解压修复了吧。 首先将病毒丢入C32中(当然可以用别的16进制编辑器),然后搜索PADDINGXX,然后往下看见一个Ra.!,如图: 这个就是作者破坏了导致无法右键解压的地方,我们查看正常的自解压这里是如下图这样的: 将此处改为52 61 72 21保存,然后将软件载入OD中,搜索常量52,同样将AA改为72,如图: 保存后就可以自解压了,我们看看解压出来的文件: 1.bmp 2.bmp 3.bmp 4.bmp 5.bmp就是图片,病毒运行后就会频繁的更换桌面, 1.mp3就是在播放”注意了,注意了,注意请立刻注意,我非常抱歉,你已遭到恶意劫持,目前我以无能为力,你的电脑已中了恶意病毒……”,就是说一下吓人的话。 Windows xp 关机.wav就是播放“计算机正在关机……”。 windows xp 启动.wav就是播放“你竟然顺利开机,我感到惊讶”。 中华黑豹.mp3就是播放豹子的吼叫声音。 提示1.exe是动态显示一副图片: 提示2.exe就是出现下图: 2.exe和3.exe就是调用播放器播放那些音频文件 再看看1.reg Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskmgr"=dword:1
很明显就是禁用任务管理器 死机.exe就是让电脑死机啦。 3.bat解密后: [code]author:pengfei@www.cn-dos.net
ZhuYao.bat解密后:
| 
[复制链接]
发表于 2012-2-4 00:54
|
发表于 2012-2-4 01:02
发表于 2012-2-4 01:11
