关于中华黑豹病毒分析

willJ

[文件标题]:关于中华黑豹病毒分析

[文章作者]:willJ

[作者邮箱]:466684954@qq.com

[软件名称]: 中华黑豹增强版.exe

[下载地址]:附件

[运行环境]:Windows xp sp3

[使用工具]:OD,PEID,winrar,解密脚本

[作者声明]: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!

[详细过程]：

  最近在逛卡饭的时候，发现有人发了一个中华黑豹增强版的病毒，以前貌似听说了这个病毒很厉害，于是下载下来看看，呵呵，发现这个病毒有点像恶搞程序，我也来记录下我分析的过程吧。

  习惯，首先我在PEID中查壳：

我本以为是yoda的壳，于是用了很多脱壳方法去脱，都没有脱下来，这里停了比较久的时间，后来我无意间载入了资源查看软件中，发现了些东西：

看见了吧，是个自解压，于是我自己压缩了一个自解压去比对，果然入口是一样的，以前自己也这么操作过，很快知道作者是怎么做的了，大家很奇怪为什么是自解压右键没有解压选项对吧？这个是因为作者对这个自解压做了操作，现在我们逆向把这个自解压修复了吧。

  首先将病毒丢入C32中（当然可以用别的16进制编辑器）,然后搜索PADDINGXX，然后往下看见一个Ra.!，如图：

这个就是作者破坏了导致无法右键解压的地方，我们查看正常的自解压这里是如下图这样的：

将此处改为52 61 72 21保存，然后将软件载入OD中，搜索常量52，同样将AA改为72，如图：

保存后就可以自解压了，我们看看解压出来的文件：

1.bmp 2.bmp 3.bmp 4.bmp 5.bmp就是图片，病毒运行后就会频繁的更换桌面，

1.mp3就是在播放”注意了，注意了，注意请立刻注意，我非常抱歉，你已遭到恶意劫持，目前我以无能为力，你的电脑已中了恶意病毒……”，就是说一下吓人的话。

Windows xp 关机.wav就是播放“计算机正在关机……”。

windows xp 启动.wav就是播放“你竟然顺利开机，我感到惊讶”。

中华黑豹.mp3就是播放豹子的吼叫声音。

提示1.exe是动态显示一副图片：

  提示2.exe就是出现下图：

2.exe和3.exe就是调用播放器播放那些音频文件

再看看1.reg

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskmgr"=dword:1

很明显就是禁用任务管理器

死机.exe就是让电脑死机啦。

  我认为程序是用几个vbs去调用那些bat文件，bat文件加密了的，这里我用了Hmily的那个解密脚本解密的（http://www.52pojie.cn/thread-23833-1-1.html）

3.bat解密后：

[code]author:pengfei@www.cn-dos.net

ZhuYao.bat解密后：

ZhuYao.rar (1.58 KB, 下载次数: 97)

2012-2-4 01:09 上传

点击文件名下载附件
下载积分: 吾爱币 -1 CB

willJ

willJ

我晕啊，后面的东西发不上了，还是放附件里吧

病毒样本解压密码：52pojie

还有个是ZhuYao.bat的解密后文件，非常详细的可以看出这个病毒的行为和目的


  3.bat解密后：
author:pengfei@www.cn-dos.net

willJ

说下解决方法吧，既然任务管理器不能打开，我们就尝试打开cmd，然后利用cmd结束该结束的进程，在后面会有一个关机提示，我们在cmd中输入shutdown -a就可以取消，然后利用msconfig打开启动选择将其取消启动，然后修复注册表，然后清理桌面就搞定。呵呵，这个病毒吓吓人还是不错的，声音，图像双重刺激。

晓儿

好像是很不错的样子，看看再说

hhfd

优秀文章  发帖辛苦

我们要忍

辛苦了。。。  

q6790296

看起来应该是纯粹的恶搞了.谢谢LZ

virusdefender

以前在虚拟机里运行过，挺刺激的。

索马里的海贼

这不属于病毒把,属于恶搞- -. 懂电脑的人轻松解决..