Joke virus...
样本来至:
[url]http://bbs.janmeng.com/thread-673506-1-1.html[/url]
应该能算个Joke virus....拿它练习手工杀毒还是不错滴,哈哈``
1、复制文件,因为我西2K系统,所以没有实现:
0044F189 |. 6A FF push -1 ; /FailIfExists = TRUE
0044F18B |. 68 C4F14400 push 0044F1C4 ;
|NewFileName=" C:\WINDOWS\system\system. exe"
0044F190 |. 53 push ebx ; |ExistingFileName
0044F191 |. E8 766DFBFF call <jmp.&kernel32.CopyFileA> ; \CopyFileA
0044F196 |. 6A FF push -1 ; /FailIfExists = TRUE
0044F198 |. 68 E4F14400 push 0044F1E4 ;
|NewFileName = " C:\WINDOWS\system32\server.exe"
0044F19D |. 53 push ebx ; |ExistingFileName
0044F19E |. E8 696DFBFF call <jmp.&kernel32.CopyFileA> ; \CopyFileA
2、修改注册表,改文件关联,重定向EXE,这点比较恶心,可能导致无法开机:
0044F307 |. 55 push ebp
0044F308 |. 68 10F44400 push 0044F410
0044F30D |. 64:FF30 push dword ptr fs:[eax]
0044F310 |. 64:8920 mov dword ptr fs:[eax], esp
0044F313 |. 8D45 F8 lea eax, dword ptr ss:[ebp-8]
0044F316 |. BA 24F44400 mov edx, 0044F424 ; ASCII "ReadMeFile"
0044F31B |. E8 D44CFBFF call 00403FF4
0044F320 |. 8D45 F4 lea eax, dword ptr ss:[ebp-C]
0044F323 |. E8 344CFBFF call 00403F5C
0044F328 |. 8D45 FC lea eax, dword ptr ss:[ebp-4]
0044F32B |. 50 push eax
0044F32C |. 8B45 F8 mov eax, dword ptr ss:[ebp-8]
0044F32F |. E8 E850FBFF call 0040441C
0044F334 |. 50 push eax ; |Subkey
0044F335 |. 68 00000080 push 80000000 ; |hKey = HKEY_CLASSES_ROOT
0044F33A |. E8 9D6BFBFF call <jmp.&advapi32.RegCreateKeyA> ; \RegCreateKeyA
0044F33F |. 6A 00 push 0
0044F341 |. 8B45 F4 mov eax, dword ptr ss:[ebp-C]
0044F344 |. E8 D350FBFF call 0040441C
0044F349 |. 50 push eax ; |Value
0044F34A |. 6A 01 push 1 ; |ValueType = REG_SZ
0044F34C |. 68 30F44400 push 0044F430 ; |Subkey = ""
0044F351 |. 8B45 FC mov eax, dword ptr ss:[ebp-4] ; |
0044F354 |. 50 push eax ; |hKey
0044F355 |. E8 9A6BFBFF call <jmp.&advapi32.RegSetValueA> ; \ RegSetValueA
0044F35A |. 8D45 F8 lea eax, dword ptr ss:[ebp-8]
0044F35D |. BA 3CF44400 mov edx, 0044F43C ; ASCII ".exe"
0044F362 |. E8 8D4CFBFF call 00403FF4
0044F367 |. 8D45 F4 lea eax, dword ptr ss:[ebp-C]
0044F36A |. BA 24F44400 mov edx, 0044F424 ; ASCII "ReadMeFile"
0044F36F |. E8 804CFBFF call 00403FF4
0044F374 |. 8D45 FC lea eax, dword ptr ss:[ebp-4]
0044F377 |. 50 push eax
0044F378 |. 8B45 F8 mov eax, dword ptr ss:[ebp-8]
0044F37B |. E8 9C50FBFF call 0040441C
3、把EXE文件关联为ReadMeFile后,继续注册ReadMeFile内容,指向病毒文件
0044F380 |. 50 push eax ; |Subkey
0044F381 |. 68 00000080 push 80000000 ; |hKey = HKEY_CLASSES_ROOT
0044F386 |. E8 516BFBFF call <jmp.&advapi32.RegCreateKeyA> ; \RegCreateKeyA
0044F38B |. 6A 00 push 0
0044F38D |. 8B45 F4 mov eax, dword ptr ss:[ebp-C]
0044F390 |. E8 8750FBFF call 0040441C
0044F395 |. 50 push eax ; |Value
0044F396 |. 6A 01 push 1 ; |ValueType = REG_SZ
0044F398 |. 68 30F44400 push 0044F430 ; |Subkey = ""
0044F39D |. 8B45 FC mov eax, dword ptr ss:[ebp-4] ; |
0044F3A0 |. 50 push eax ; |hKey
0044F3A1 |. E8 4E6BFBFF call <jmp.&advapi32.RegSetValueA> ; \RegSetValueA
0044F3A6 |. 8D45 F8 lea eax, dword ptr ss:[ebp-8]
0044F3A9 |. BA 24F44400 mov edx, 0044F424 ; ASCII " ReadMeFile"
0044F3AE |. E8 414CFBFF call 00403FF4
0044F3B3 |. 8D45 F4 lea eax, dword ptr ss:[ebp-C]
0044F3B6 |. BA 4CF44400 mov edx, 0044F44C ; ASCII" C:\WINDOWS\system32\server.exe %1"
0044F3BB |. E8 344CFBFF call 00403FF4
0044F3C0 |. 8D45 FC lea eax, dword ptr ss:[ebp-4]
0044F3C3 |. 50 push eax
0044F3C4 |. 8B45 F8 mov eax, dword ptr ss:[ebp-8]
0044F3C7 |. E8 5050FBFF call 0040441C
0044F3CC |. 50 push eax ; |Subkey
0044F3CD |. 68 00000080 push 80000000 ; |hKey = HKEY_CLASSES_ROOT
0044F3D2 |. E8 056BFBFF call <jmp.&advapi32.RegCreateKeyA> ; \ RegCreateKeyA
0044F3D7 |. 68 04010000 push 104
0044F3DC |. 8B45 F4 mov eax, dword ptr ss:[ebp-C]
0044F3DF |. E8 3850FBFF call 0040441C
0044F3E4 |. 50 push eax ; |Value
0044F3E5 |. 6A 01 push 1 ; |ValueType = REG_SZ
0044F3E7 |. 68 70F44400 push 0044F470 ; |Subkey = "shell\open\command"
0044F3EC |. 8B45 FC mov eax, dword ptr ss:[ebp-4] ; |
0044F3EF |. 50 push eax ; |hKey
0044F3F0 |. E8 FF6AFBFF call <jmp.&advapi32.RegSetValueA> ; \RegSetValueA
0044F3F5 |. 33C0 xor eax, eax
0044F3F7 |. 5A pop edx
0044F3F8 |. 59 pop ecx
0044F3F9 |. 59 pop ecx
4、结合第2个点和第3点,那么启动EXE类型文件就等于运行一次病毒。
哈哈,可能重启后无法开机,系统核心文件都无法启动!
5、禁用任务栏:
0044F0E7 . 6A 00 push 0 ; /Enable = FALSE
0044F0E9 . 68 1CF14400 push 0044F11C ; |/Title = ""
0044F0EE . 68 20F14400 push 0044F120 ; ||Class = "Shell_TrayWnd"
0044F0F3 . E8 F472FBFF call <jmp.&user32.FindWindowA> ; |\FindWindowA
0044F0F8 . 50 push eax ; |hWnd
0044F0F9 . E8 BE72FBFF call <jmp.&user32.EnableWindow> ; \ EnableWindow
。。。。。。。。。。。。。。。。。。。。。。。。。。
解决方法:
1、把所有窗口最小化,打开系统文件夹,至C:\windows\
2、打开任务管理器,看到一个System无扩展名的进程,关闭。
这点不要漏了,这进程起着守护注册表的作用,必须先清理。
3、把Regedit重命名,例如regedit.com、regedit.pif、regedit.scr等等。
4、打开重命名后的Regedit,展开到:
HKEY_CLASSES_ROOT
查找“.exe”的项,把ReadMeFile修改为exefile。
如果有SREng之类的东西,可以用它来恢复文件关联。
5、然后查找ReadMeFile这个项,删除掉就可以了。
6、删除(如果有):
C:\WINDOWS\system32\server.exe
C:\WINDOWS\system\system.exe
7、重启电脑。。。
PP:
添加注册表:
因为EXE文件关联丢了,所以任何程序都无法运行!!:
守护的进程:
[url]http://bbs.janmeng.com/thread-673506-1-1.html[/url]
应该能算个Joke virus....拿它练习手工杀毒还是不错滴,哈哈``
1、复制文件,因为我西2K系统,所以没有实现:
0044F189 |. 6A FF push -1 ; /FailIfExists = TRUE
0044F18B |. 68 C4F14400 push 0044F1C4 ;
|NewFileName=" C:\WINDOWS\system\system. exe"
0044F190 |. 53 push ebx ; |ExistingFileName
0044F191 |. E8 766DFBFF call <jmp.&kernel32.CopyFileA> ; \CopyFileA
0044F196 |. 6A FF push -1 ; /FailIfExists = TRUE
0044F198 |. 68 E4F14400 push 0044F1E4 ;
|NewFileName = " C:\WINDOWS\system32\server.exe"
0044F19D |. 53 push ebx ; |ExistingFileName
0044F19E |. E8 696DFBFF call <jmp.&kernel32.CopyFileA> ; \CopyFileA
2、修改注册表,改文件关联,重定向EXE,这点比较恶心,可能导致无法开机:
0044F307 |. 55 push ebp
0044F308 |. 68 10F44400 push 0044F410
0044F30D |. 64:FF30 push dword ptr fs:[eax]
0044F310 |. 64:8920 mov dword ptr fs:[eax], esp
0044F313 |. 8D45 F8 lea eax, dword ptr ss:[ebp-8]
0044F316 |. BA 24F44400 mov edx, 0044F424 ; ASCII "ReadMeFile"
0044F31B |. E8 D44CFBFF call 00403FF4
0044F320 |. 8D45 F4 lea eax, dword ptr ss:[ebp-C]
0044F323 |. E8 344CFBFF call 00403F5C
0044F328 |. 8D45 FC lea eax, dword ptr ss:[ebp-4]
0044F32B |. 50 push eax
0044F32C |. 8B45 F8 mov eax, dword ptr ss:[ebp-8]
0044F32F |. E8 E850FBFF call 0040441C
0044F334 |. 50 push eax ; |Subkey
0044F335 |. 68 00000080 push 80000000 ; |hKey = HKEY_CLASSES_ROOT
0044F33A |. E8 9D6BFBFF call <jmp.&advapi32.RegCreateKeyA> ; \RegCreateKeyA
0044F33F |. 6A 00 push 0
0044F341 |. 8B45 F4 mov eax, dword ptr ss:[ebp-C]
0044F344 |. E8 D350FBFF call 0040441C
0044F349 |. 50 push eax ; |Value
0044F34A |. 6A 01 push 1 ; |ValueType = REG_SZ
0044F34C |. 68 30F44400 push 0044F430 ; |Subkey = ""
0044F351 |. 8B45 FC mov eax, dword ptr ss:[ebp-4] ; |
0044F354 |. 50 push eax ; |hKey
0044F355 |. E8 9A6BFBFF call <jmp.&advapi32.RegSetValueA> ; \ RegSetValueA
0044F35A |. 8D45 F8 lea eax, dword ptr ss:[ebp-8]
0044F35D |. BA 3CF44400 mov edx, 0044F43C ; ASCII ".exe"
0044F362 |. E8 8D4CFBFF call 00403FF4
0044F367 |. 8D45 F4 lea eax, dword ptr ss:[ebp-C]
0044F36A |. BA 24F44400 mov edx, 0044F424 ; ASCII "ReadMeFile"
0044F36F |. E8 804CFBFF call 00403FF4
0044F374 |. 8D45 FC lea eax, dword ptr ss:[ebp-4]
0044F377 |. 50 push eax
0044F378 |. 8B45 F8 mov eax, dword ptr ss:[ebp-8]
0044F37B |. E8 9C50FBFF call 0040441C
3、把EXE文件关联为ReadMeFile后,继续注册ReadMeFile内容,指向病毒文件
0044F380 |. 50 push eax ; |Subkey
0044F381 |. 68 00000080 push 80000000 ; |hKey = HKEY_CLASSES_ROOT
0044F386 |. E8 516BFBFF call <jmp.&advapi32.RegCreateKeyA> ; \RegCreateKeyA
0044F38B |. 6A 00 push 0
0044F38D |. 8B45 F4 mov eax, dword ptr ss:[ebp-C]
0044F390 |. E8 8750FBFF call 0040441C
0044F395 |. 50 push eax ; |Value
0044F396 |. 6A 01 push 1 ; |ValueType = REG_SZ
0044F398 |. 68 30F44400 push 0044F430 ; |Subkey = ""
0044F39D |. 8B45 FC mov eax, dword ptr ss:[ebp-4] ; |
0044F3A0 |. 50 push eax ; |hKey
0044F3A1 |. E8 4E6BFBFF call <jmp.&advapi32.RegSetValueA> ; \RegSetValueA
0044F3A6 |. 8D45 F8 lea eax, dword ptr ss:[ebp-8]
0044F3A9 |. BA 24F44400 mov edx, 0044F424 ; ASCII " ReadMeFile"
0044F3AE |. E8 414CFBFF call 00403FF4
0044F3B3 |. 8D45 F4 lea eax, dword ptr ss:[ebp-C]
0044F3B6 |. BA 4CF44400 mov edx, 0044F44C ; ASCII" C:\WINDOWS\system32\server.exe %1"
0044F3BB |. E8 344CFBFF call 00403FF4
0044F3C0 |. 8D45 FC lea eax, dword ptr ss:[ebp-4]
0044F3C3 |. 50 push eax
0044F3C4 |. 8B45 F8 mov eax, dword ptr ss:[ebp-8]
0044F3C7 |. E8 5050FBFF call 0040441C
0044F3CC |. 50 push eax ; |Subkey
0044F3CD |. 68 00000080 push 80000000 ; |hKey = HKEY_CLASSES_ROOT
0044F3D2 |. E8 056BFBFF call <jmp.&advapi32.RegCreateKeyA> ; \ RegCreateKeyA
0044F3D7 |. 68 04010000 push 104
0044F3DC |. 8B45 F4 mov eax, dword ptr ss:[ebp-C]
0044F3DF |. E8 3850FBFF call 0040441C
0044F3E4 |. 50 push eax ; |Value
0044F3E5 |. 6A 01 push 1 ; |ValueType = REG_SZ
0044F3E7 |. 68 70F44400 push 0044F470 ; |Subkey = "shell\open\command"
0044F3EC |. 8B45 FC mov eax, dword ptr ss:[ebp-4] ; |
0044F3EF |. 50 push eax ; |hKey
0044F3F0 |. E8 FF6AFBFF call <jmp.&advapi32.RegSetValueA> ; \RegSetValueA
0044F3F5 |. 33C0 xor eax, eax
0044F3F7 |. 5A pop edx
0044F3F8 |. 59 pop ecx
0044F3F9 |. 59 pop ecx
4、结合第2个点和第3点,那么启动EXE类型文件就等于运行一次病毒。
哈哈,可能重启后无法开机,系统核心文件都无法启动!
5、禁用任务栏:
0044F0E7 . 6A 00 push 0 ; /Enable = FALSE
0044F0E9 . 68 1CF14400 push 0044F11C ; |/Title = ""
0044F0EE . 68 20F14400 push 0044F120 ; ||Class = "Shell_TrayWnd"
0044F0F3 . E8 F472FBFF call <jmp.&user32.FindWindowA> ; |\FindWindowA
0044F0F8 . 50 push eax ; |hWnd
0044F0F9 . E8 BE72FBFF call <jmp.&user32.EnableWindow> ; \ EnableWindow
。。。。。。。。。。。。。。。。。。。。。。。。。。
解决方法:
1、把所有窗口最小化,打开系统文件夹,至C:\windows\
2、打开任务管理器,看到一个System无扩展名的进程,关闭。
这点不要漏了,这进程起着守护注册表的作用,必须先清理。
3、把Regedit重命名,例如regedit.com、regedit.pif、regedit.scr等等。
4、打开重命名后的Regedit,展开到:
HKEY_CLASSES_ROOT
查找“.exe”的项,把ReadMeFile修改为exefile。
如果有SREng之类的东西,可以用它来恢复文件关联。
5、然后查找ReadMeFile这个项,删除掉就可以了。
6、删除(如果有):
C:\WINDOWS\system32\server.exe
C:\WINDOWS\system\system.exe
7、重启电脑。。。
PP:
添加注册表:
因为EXE文件关联丢了,所以任何程序都无法运行!!:
守护的进程: