好友
阅读权限25
听众
最后登录1970-1-1
|
材鸟
发表于 2017-5-13 22:06
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 材鸟 于 2017-5-15 19:52 编辑
这个东西是一个敲竹杠的,运行后锁机
上次在某群问某问题,某人发的一个相关的工具.EXE!然后下载来后就中招了
请注意!!!!!我没有源码!!!!!!下文都是通过Ollydbug分析的!样本链接:https://share.weiyun.com/777ffc0ca03cfd4b9c7b59ab7a87816f (密码:Vr4b)
分析行为:
检测是否被调试 4013B9
获取版本,比较是否新版 4014AA
获取外网IP及IP归属地
判断归属地是否 内蒙古【是则退出,否则继续】
检测 360Tray.exe(360) QQPCTray.exe(电脑管家)
kxetray.exe(金山毒霸) PowerRemind.exe(影子系统)
是否运行,是则提示用户关闭
检测影子系统目录及桌面是否存在游戏菜单.* //判断运行环境是否虚拟环境,例如网吧
检测 vmtoolsd.exe进程及目录 401DCF //是则提示一串不友好的信息
检测 破解工具包.exe 吾爱破解工具包.exe 及桌面是否存在 破解工具包.*
检测 桌面是否存在 XueTr.*
屏幕截图.png,放C:\WINDOWS\ 再转.jpg
将自身添加到系统启动项里
篡改系统关联图标及
修改注册表 SOFTWARE\Classes\*file\shell\open\command 值(打开以下类型文件都指向病毒,都会运行成病毒)EXE(Yule6.ico) JPG(Yule1.ico) PNG(Yule2.ico) BMP(Yule3.ico)
ICO(Yule4.ico) GIF(Yule5.ico) BAT(Yule4.ico) COM(Yule3.ico)
CMD(Yule2.ico) VBS(Yule1.ico)
DLL SYS INI LNK MP3 MP4 WAV WMV AVI ZIP RAR TXT SCR ISO GHO BIN
7Z JS(Yule.ico)
结束taskmgr.exe explorer.exe进程
桌面创建300个名为 UR NEXT UR NEXT UR NEXT 的文件
创建窗口,窗口启动代码为锁机相关,共有2道锁 硬盘锁 WINDOWS登陆锁
不继续贴了,给要玩的朋友玩。 总结就是运行后锁机,敲诈。
解决方法:
以下 日期时间为软件运行的那一刻的时间,秒数和日期在病毒提示的随机码中已经给出,其他自己推算
随机码 = 秒数+649+日期 // 算法代码段:40C65D
恢复码 = 秒数+日期+3+小时+1
硬盘逻辑锁 = 秒数+706424
WINDOWS登陆锁 = 日期+小时+分钟+秒数+.8
病毒中包含的一些信息(希望中过的朋友可以找到此贴进而解决,如有违规请版主进行删除)
发件邮箱:
SMTP地址: smtp.exmail.qq.com
账号: admin@yuleo.cc
密码:xwG0D1qrUbYXWVv7
收件邮箱:
admin@yuleo.cc
2669771000@yuleo.cc
QQ:971233666
QQ:17366100
域名 yuleo.cc
有点尴尬 ,我都是一路跟下去的,代码什么的都在临时笔记里删除了(个人习惯是有用的记下,用完删掉,只求结果) |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
