网站 › 『=悬赏求助=』 › 电脑打开了个软件中毒被锁了！求帮忙大神。

459423008 发表于 2017-4-9 14:55

电脑打开了个软件中毒被锁了！求帮忙大神。

这是那个病毒软件连接http://pan.baidu.com/share/link?shareid=3239458794&uk=2509735697！！！请大家帮忙分析下密码。

haier8917 发表于 2017-4-9 14:55

此程序我跟踪了他的破坏流程（当然是虚拟机），程序首先会检测调试器（蓝屏），然后会联网，如果联网正常，则

程序检测进程里是否有360Tray.exe（load driver failed，please turn off anti-virus softwar and tray

again.），QQPCTray.exe（load driver failed，please turn off anti-virus softwar and tray again.）

，PowerRemind.exe（load driver failed，please turn off anti-virus softwar and tray again.）这应该是

影子系统，而且检测了两次这个进程，vmtoolsd.exe（年轻人不要想搞个大新闻，再把我批判一番）虚拟机的进程

并检测系统根目录下的c:\progran files\VMware\VMware TOOls（年轻人不要想搞个大新闻，再把我批判一番）Z注

意：：利用这个特点我们可以在主机的c盘建立这个文件夹，这样，当我们主机运行的程序含有这样的恶意代码，则最

多只是蓝屏重启而已，不会遭受下面的损坏。。如果程序上面的检测返回的信息表明无防护，则程序进行正式的破坏

代码，首先他会从系统和硬盘方面进行破坏：：：（此时程序又联网一次，具体是干什么因为我不会抓包，返回的信

息为空白，所以我不清楚，故省略）
系统方面的破坏：：：1.程序首先在c盘根目录下建立6个不同的娃娃脸图标（后面还会建一个共7个，此图标=下截图

给大家），程序首先会更改

JPG,PNG,BMP,ICO,GIF,BAT,COM,CMD,VBS,DLL,SYS,INI,LNK,MP3,MP4,WAV,WMV,AVI,ZIP,RAR,TXT,SCR,EXE,ISO,GHO,gho

，BIN,7Z,JS的文件关联，使上述扩展名的文件全部变成相应的娃娃脸的图标，图标变化我觉得吧无所谓，但是，其打

开方式统一指向了那个恶意代码程序（当然他还重启explorer，让他刚修改的生效）。。。。。。也就是说，此时，

你不管点什么文件，都会触发这个恶意程序，如果你没完全恢复其文件关联，那么当你点了没被恢复的文件扩展名的

文件后，直接又中招。。。。所以，最好方法就是修复了MBR后重做系统系统。。。。2.程序会重写hosts文件，并在

系统根目录写入yule.10086这个文件，在C:\WINDOWS\TEMP目录下写入ADSL.EXE文件，在C盘根目录写入IP.BAT文件 3.

在桌面建立大概400个UR NEXT UR NEXT UR NEXT.EXE的文件，文件内容是联系QQxxxxxxxx索取密码（因为论坛不允许

出现，所以这个号码我用x代替），可能会在系统盘根目录生成电脑已被黑.EXE，其他盘根目录生成电脑已被黑.TXT
硬盘方面的破坏：：：：和所有的破坏程序一样，上逻辑锁（我认为用这称呼不恰当，只是上锁而已，因为他的作用

只是把硬盘的MBR写成了他自身的代码并清零了分区表部分，真正的逻辑锁是让程序读取硬盘分区的时候陷入死循环，

比如：：我在读取分区表的时候，首先读取了当前分区的信息，然后我要读取下个分区的时候我会先读取当前分区表

的扩展分区的指针），然后根据此指针读取下个分区的当前分区，以此类推，当读取到某个分区表只有当前分区信息

，没有扩展分区的时候，表示没有下个分区信息（也就是最后一个分区信息），此时我把这个分区信息读完，程序接

着往下走等等，但是，我如果在指向下个分区的分区表上做文章，使其程序读取下个分区信息时读到的是我现在读取

的分区表，那么，此时非常古老的程序将永远读不完硬盘的分区信息，此时，程序就卡在这部啦。。。。。这才是真

正的逻辑锁。。。。。我是遇见过的，呵呵
至于他生成的那些信息，我准备分析后以后发上来

李少pojie 发表于 2017-4-9 15:05

上次有人出过教程了。自己搜索

459423008 发表于 2017-4-9 15:14

李少pojie 发表于 2017-4-9 15:05
上次有人出过教程了。自己搜索

我是个小白一窍二不通。有教程我也看不懂T_T

山顶的一棵草 发表于 2017-4-9 15:26

我这打开就看他访问了 http://yuleo.cc/version.txt 然后就报错了。。。

459423008 发表于 2017-4-9 15:30

山顶的一棵草 发表于 2017-4-9 15:26
我这打开就看他访问了 http://yuleo.cc/version.txt 然后就报错了。。。

我打开就无限弹笑脸！唉

万能的群主 发表于 2017-4-9 18:59

你看海尔师傅的文章，很仔细

haier8917 发表于 2017-4-9 23:25

此程序我试了下，检测调试，检测虚拟机，锁硬盘。。。这都不算什么，但是，该程序的启动级别给我的感觉是最高的
因为我虚拟机的硬盘锁修复好后，进入系统的登入界面直接被那个程序拦截（账号密码错误，然后替换成他的登陆界面了。。。）

googls 发表于 2017-4-10 10:06

真是厉害的病毒，可怕

V58787 发表于 2017-4-10 13:50

这家伙还搞 熊猫烧香病毒

查看完整版本: 电脑打开了个软件中毒被锁了！求帮忙大神。