首页
论坛
专栏
课程

[调试逆向] [病毒木马] [原创]浅析:爱国大黑客的病毒木马-CATGAMES

2019-4-5 22:59 5334

[调试逆向] [病毒木马] [原创]浅析:爱国大黑客的病毒木马-CATGAMES

2019-4-5 22:59
5334

文件名称:lonely.exe
CRC32:299DADAF
MD5:EFE22BBA1EBCB91208B2233C794877B8
SHA-1:52017B61E4B0576F913EBF7F1EEBD006FE8A77B4

如果弟弟有说错了欢迎各位爷在评论指点一下,弟弟会改正的~


浅析一个爱国大黑客的病毒木马
今天突然有人在我的群发了一个链接!!!


索性下载来看了看



0x01


没壳的话 直接上OD吧


0x02

获取USB设备使用信息



写文件c:\windwos\system\usb.bat


我找到了这个bat命令



关闭USB储存设备的盘符自动分配
干掉USB存储设备的作用文件(这里说明一下,USB存储设备的作用文件有两个,分别是usbstor.inf和usbstor.pnf)
禁止将电脑里的资料拷贝到USB存储设备,意思是把USB存储设备设置只读的,干成残废。 (也就是说,你也可用USB存储设备,但是不能往里边写内容)


关闭IE当前安全设置会使计算机有风险这个提示


写入MBR文件到c:\windows\system\




禁用任务管理器




遍历找到c:\Users\Administrator\DesktopLonely.exe(我的内心独白:我透?他写错了吧?代码写错了吧,不是我的OD跑错了吧????)




创建窗口( 有很多call了CreateWIndowExA 后边看GIF就懂了)




这次终于写对了奥
遍历找到c:\Users\Administrator\Desktop\Lonely.exe



写开机自启动



创建一个窗口,指定了名称


也就是运行之后的 (这国旗是用脚画的吧?篡改国旗好像犯法吧?)



跟上边一样 也是创建一个窗口,不过后边会用GIF展现给大家看



要求用户管理员模式运行


使用taskkill 结束 360木马防火墙模块


一堆神仙操作




弟弟我看到这都哭了 :(
现在去看看他的捆绑吧 一共有三个捆绑 已知又一个是锁机



先看MBR

存个快照 运行看看


双击后啥玩意也没有
但是关机后


但是也无法输入任何东西

那先看看另外两个捆绑吧



0x03

基本上病毒就这些东西 下面是GIF


这是病毒主模块执行的样子
现在就就每个病毒的捆绑都干了什么
主模块 其实也就是删除系统文件那些


MBR锁机


最后一个捆绑


至于为啥我在执行主程序的时候没这些 可能是虚拟机太卡了 哈哈哈哈哈哈


用一句话概况就是改,删,锁,就完事了奥~
至于他的MBR锁了啥我相信已经不重要了,因为你运行这个病毒的那一刻,你的系统文件已经删完了:)

弟弟没啥技术,各位爷就当看看:D GLHF!


样本链接(文件太大样本无法上传):样本下载

CATGAMES的小窝



[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最后于 2019-4-5 23:02 被CatGames编辑 ,原因:
最新回复 (48)
CatGames 6 2019-4-5 23:08
2
0
皮皮虾啊 2019-4-5 23:25
3
0
哈哈哈 学到知识了 (表情包真滴好玩)
BkHumor 2019-4-6 00:48
4
0
hzqst 3 2019-4-6 06:29
5
0
战 狼 病 毒
一半人生 2019-4-6 08:09
6
0
求求你别秀了 光看表情包了......
我要学 2019-4-6 08:55
7
0
这不是一篮子USB解决方案吗,厉害
大鱼吃小鱼 2019-4-6 10:14
8
0
应经中毒
CatGames 6 2019-4-6 11:12
9
0
理想小青年 求求你别秀了 光看表情包了......
。。。。技术不够 表情来凑
暖洋洋 2019-4-6 12:08
10
0
O(∩_∩)O哈哈哈~
没有司机的兔 2019-4-6 13:20
11
0
弱弱的问一句,物理机什么系统啊,怪好看的。
CatGames 6 2019-4-6 13:40
12
0
没有司机的兔 弱弱的问一句,物理机什么系统啊,怪好看的。
deepin linux 
没有司机的兔 2019-4-6 16:45
13
0
CatGames deepin linux
谢谢大佬,虚拟机先体验下去。
wx_#有事就留言 2019-4-6 17:30
14
0
那个关掉360的方法  ,  有用么,我去测试下
CatGames 6 2019-4-6 17:50
15
0
wx_#有事就留言 那个关掉360的方法 , 有用么,我去测试下
用CMD命令结束而已
lhxdiao 2019-4-6 18:33
16
0
这种够吓住一般的小白用户了
Nerium 2019-4-6 22:01
17
0
如此病毒,受教了。
邓dg 2019-4-6 23:25
18
0
楼主牛逼 
CatGames 6 2019-4-7 10:56
19
0
邓dg 楼主牛逼
......
anfly 2019-4-7 19:59
20
0
CatGames 用CMD命令结束而已[em_13]
taskkill 能搞定360  不会吧
CatGames 6 2019-4-7 21:34
21
0
anfly taskkill 能搞定360 不会吧
他觉得而已:)
petersonhz 2019-4-8 01:04
22
0
CatGames 他觉得而已:)
lonly.exe是你开发的么
CatGames 6 2019-4-8 11:24
23
0
petersonhz lonly.exe是你开发的么[em_48]
我?当然不是我 
不对 2019-4-8 14:40
24
0
那个估计是lstrcatA的时候忘了链接一个反斜杠了,不过问题不大,反正主要目的应该是搞掉MBR的

鹅且,我敢说,装了360的机器,不用底层的话, 是结束不掉的,而且,,似乎对MBR也有防护,而且对写文件也有防护,,

估计着这个文件最好的结局,就是落地就死吧?
CatGames 6 2019-4-8 15:02
25
0
不对 那个估计是lstrcatA的时候忘了链接一个反斜杠了,不过问题不大,反正主要目的应该是搞掉MBR的 鹅且,我敢说,装了360的机器,不用底层的话, 是结束不掉的,而且,,似乎对MBR也有防护,而 ...
必死 我刚下载 完 它还在压缩包 火绒秒杀
许瑞 2019-4-8 15:28
26
0
     我看那个国旗变形的时候感觉是易语言的一个什么效果  还真是    不过这个360下载检测是不是有点那啥
CatGames 6 2019-4-8 18:11
27
0
许瑞      我看那个国旗变形的时候感觉是易语言的一个什么效果  还真是    不过这个360下 ...
建议是用火绒 ‘ 你懂的
固件安全 2019-4-9 08:06
28
0
NB,就是表情包出戏了
CatGames 6 2019-4-9 08:59
29
0
固件安全 [em_63]NB,就是表情包出戏了[em_19]
。。。。
Editor 2019-4-9 09:22
30
0
表情包为这篇文章注入了灵魂声音 形象生动,个性鲜明。。。
Hades一KXXY 2019-4-9 10:26
31
1
一看就是网上哪些,在线黑客培训XX的课程代码相互拷贝一下。这种马,有安全软件就给你干掉了,自古小学生多。
网络枭红 2019-4-9 16:49
32
0
起个 激情 点的标题。放网上 或者 随便上传个群里。估计就能套到 。上网的小白很多的。不装这些防护软件的小白 也很多。
CatGames 6 2019-4-9 16:51
33
0
Editor 表情包为这篇文章注入了灵魂声音[em_86] 形象生动,个性鲜明。。。
:)
CatGames 6 2019-4-9 16:52
34
0
Hades一KXXY 一看就是网上哪些,在线黑客培训XX的课程代码相互拷贝一下。这种马,有安全软件就给你干掉了,自古小学生多。
其实 这种很多人点的 :) 小白多 也有很多小白都知道装杀软卡 你懂的
CatGames 6 2019-4-9 16:52
35
0
网络枭红 起个 激情 点的标题。放网上 或者 随便上传个群里。估计就能套到 。上网的小白很多的。不装这些防护软件的小白 也很多。
是的 就比如某盗号团队 都是取那种什么加速器破解 LOL外挂什么的 
roysue 3 2019-4-9 17:47
36
0
Editor 表情包为这篇文章注入了灵魂声音[em_86] 形象生动,个性鲜明。。。
那是你只看得懂表情包嘛
初学者有毅力 2019-4-9 20:32
37
0
楼主这表情包配的相当到位   承包了我一个月的笑点
CatGames 6 2019-4-9 22:18
38
0
初学者有毅力 楼主这表情包配的相当到位 承包了我一个月的笑点
; )
Goly 2019-4-10 15:47
39
0
死鬼 讨厌 收获了一波表情包
新user 2019-4-11 08:27
40
0
神仙操作 无敌无敌  病毒有趣 分析也有趣
邓dg 2019-4-11 15:22
41
0
楼主威武
pushaojie 2019-4-12 11:35
42
0
楼主厉害嗒,,想跟你学习不知道有没有机会,,
mihacker 2019-4-12 17:25
43
0
   看着表情愉快的结束了帖子,真刺激。
维克托 2019-4-12 17:45
44
0
边看边喊666,然后保存表情包~
CatGames 6 2019-4-13 13:12
45
0
pushaojie 楼主厉害嗒,,想跟你学习不知道有没有机会,,[em_1]
emmmm CatGames.cn
幽幽浮浮 2019-4-14 21:43
46
0
哈哈~看Gif不会中毒吧
CatGames 6 2019-4-14 22:32
47
0
幽幽浮浮 哈哈~看Gif不会中毒吧[em_13]
会 哈哈哈哈:)
palkiver 2019-4-15 16:26
48
0
陈独秀啊,样本秀、分析更秀
q_2519345843 2019-4-22 12:08
49
0
重金求一位逆向牛逼,懂ETH算法的区块链大神帮解决一个问题
游客
登录 | 注册 方可回帖
返回