吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 47070|回复: 101
收起左侧

[PC样本分析] 关于中华黑豹病毒分析

    [复制链接]
willJ 发表于 2012-2-4 00:54
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 willJ 于 2012-2-4 01:09 编辑

[文件标题]:关于中华黑豹病毒分析
[文章作者]:willJ
[作者邮箱]:466684954@qq.com
[软件名称]: 中华黑豹增强版.exe
[下载地址]:附件
[运行环境]:Windows xp sp3
[使用工具]:OD,PEID,winrar,解密脚本
[作者声明]: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!

[详细过程]
  最近在逛卡饭的时候,发现有人发了一个中华黑豹增强版的病毒,以前貌似听说了这个病毒很厉害,于是下载下来看看,呵呵,发现这个病毒有点像恶搞程序,我也来记录下我分析的过程吧。
  习惯,首先我在PEID中查壳:
1.jpg
我本以为是yoda的壳,于是用了很多脱壳方法去脱,都没有脱下来,这里停了比较久的时间,后来我无意间载入了资源查看软件中,发现了些东西:
2.jpg
看见了吧,是个自解压,于是我自己压缩了一个自解压去比对,果然入口是一样的,以前自己也这么操作过,很快知道作者是怎么做的了,大家很奇怪为什么是自解压右键没有解压选项对吧?这个是因为作者对这个自解压做了操作,现在我们逆向把这个自解压修复了吧。
  首先将病毒丢入C32中(当然可以用别的16进制编辑器),然后搜索PADDINGXX,然后往下看见一个Ra.!,如图:
3.jpg
这个就是作者破坏了导致无法右键解压的地方,我们查看正常的自解压这里是如下图这样的:
4.jpg
将此处改为52 61 72 21保存,然后将软件载入OD中,搜索常量52,同样将AA改为72,如图:
5.jpg
保存后就可以自解压了,我们看看解压出来的文件:
6.jpg
1.bmp 2.bmp 3.bmp 4.bmp 5.bmp就是图片,病毒运行后就会频繁的更换桌面,
1.mp3就是在播放”注意了,注意了,注意请立刻注意,我非常抱歉,你已遭到恶意劫持,目前我以无能为力,你的电脑已中了恶意病毒……”,就是说一下吓人的话。
Windows xp 关机.wav就是播放“计算机正在关机……”。
windows xp 启动.wav就是播放“你竟然顺利开机,我感到惊讶”。
中华黑豹.mp3就是播放豹子的吼叫声音。
提示1.exe是动态显示一副图片:
7.jpg
  提示2.exe就是出现下图:
8.jpg
2.exe3.exe就是调用播放器播放那些音频文件
再看看1.reg
Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskmgr"=dword:1

很明显就是禁用任务管理器
死机.exe就是让电脑死机啦。
  我认为程序是用几个vbs去调用那些bat文件,bat文件加密了的,这里我用了Hmily的那个解密脚本解密的(http://www.52pojie.cn/thread-23833-1-1.html
3.bat解密后:
[code]author:pengfei@www.cn-dos.net
ZhuYao.bat解密后:
ZhuYao.rar (1.58 KB, 下载次数: 97)

9.jpg

中华黑豹增强版.rar

723.97 KB, 下载次数: 553, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 4威望 +5 热心值 +2 收起 理由
KaQqi + 1 我很赞同!
roxiel + 1 感谢发布原创作品,[吾爱破解]因你更精彩!
zxqwe + 1 + 1 桌面文件...顺便加分。
是昔流芳 + 3 牛X~~~~

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| willJ 发表于 2012-2-4 01:02
 楼主| willJ 发表于 2012-2-4 01:06
我晕啊,后面的东西发不上了,还是放附件里吧

病毒样本解压密码:52pojie

还有个是ZhuYao.bat的解密后文件,非常详细的可以看出这个病毒的行为和目的


  3.bat解密后:
author:pengfei@www.cn-dos.net

点评

怎么发不上来?出现什么问题?字符串截断了?  发表于 2012-2-4 13:32
 楼主| willJ 发表于 2012-2-4 01:08
说下解决方法吧,既然任务管理器不能打开,我们就尝试打开cmd,然后利用cmd结束该结束的进程,在后面会有一个关机提示,我们在cmd中输入shutdown -a就可以取消,然后利用msconfig打开启动选择将其取消启动,然后修复注册表,然后清理桌面就搞定。呵呵,这个病毒吓吓人还是不错的,声音,图像双重刺激。
晓儿 发表于 2012-2-4 01:11
好像是很不错的样子,看看再说
hhfd 发表于 2012-2-4 02:22
优秀文章  发帖辛苦
我们要忍 发表于 2012-2-4 12:39
辛苦了。。。  
q6790296 发表于 2012-2-4 13:14
看起来应该是纯粹的恶搞了.谢谢LZ
virusdefender 发表于 2012-2-4 18:16
以前在虚拟机里运行过,挺刺激的。
索马里的海贼 发表于 2012-2-4 18:26
这不属于病毒把,属于恶搞- -. 懂电脑的人轻松解决..
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-1 03:46

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表