中华黑豹病毒样本简单分析 文/随风.潜入夜

无意识的逛到了瑞星官网,发现了个中华黑豹病毒,据说很强大啊!如图1:
百度的了下,大家都说作者是xxx。本地测试后发下跟xxx比差得有点远。
不解释,直接拖到虚拟机里面搞!首先Resource Hacker载入病毒样本。看Custom里面发现了些病毒相关图片如图2-3,等会我们运行后就会自动释放出来然后使劲的切换桌面为这些图片。它切啊切,切你妹啊切。。。。



图4你懂的,添加注册表删除默认的Icons 他想改图标啊!

图5:利用WScript执行1.bat。

图6:版本信息;作者真TM高调啊GYF你名字吧?版本9999.9999坑爹呢?

Next。用PEID查壳升级版为VB增强版加壳了跟我想象的一样,这东西估计就TM一玩具,病毒功能实现也不难啊VB配合Bat基本上很easy,真正难搞的是某些大牛用C写的病毒VB不是俗称玩具么?。如图7-8


我们运行下这木马试下?呃...我们还是看图9和楼主的描述吧:
1:格式化全部磁盘
2:在桌面上摆了一些文件,图标是黑色的豹子头!共计100余个!删除不掉,打不开。
3:中毒的过程:可以听到一个豹子的叫声,一个男子在说话,声音相当大!开麦听听就知道!
4:中毒的过程:桌面不停的闪!5余种颜色!写着:“中华黑豹病毒已经侵入!!!”字很大!吓人...
5:提示几个框框,关不完,声音频率貌似很好听!有错误、提示、警告、等,差不多做成一首音乐了!!一个不停的跳动的对话框,关不掉!写着:玉树地震的事情!。看上去是位爱国者....顶!
6:任务管理器被禁用!
7:注册表被禁用!
8:光驱不停的弹出弹入……
9:全盘文件夹都变了样...等等……
图9看着挺爽的

运行样本之后不久就会自动关机,关机之后再运行批处理进行格盘啊什么的;后面我会带大家一起分析。图10提示关机。我们只要在开始-->运行>cmd>shutdown -a就可以取消关机了!常识啊!作者把大家都当大白菜了!

现在我们来看下当前的进程,由于任务管理器已经别禁用了,我这里用CMD下的task系列命令来搞吧(
PS:任务管理器恢复-->:打开注册表“[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]”分支,在左边找到“DisableTaskMgr”项

(如没有则新建,其类型为REG_DWORD),

其值设置为1则禁止,

其值设置为0则启用。如图11:)

tasklist 展开当前进程列表,然后再taskkill /pid 值即可关闭对应进程;如图12:

在运行样本前我就已经用TinyFirewallPr检测了。图13为程序的日志文件:


根据TinyFirewallPr的记录很轻松的就找到了病毒释放出来的包位于c:\windows\system\chinaheibao目录下,现在我们来围观下里面的东东吧!如图14:

vbs、bat大家都懂的,bat加密了,我给解密出来了如图15:


非常清晰的展示了程序的执行流程,做了什么都在这些bat和vbs里面。格盘什么的重点在zhuyao.bat(鄙视作者用拼音,一般只有菜菜才喜欢这么搞的呃...所以不要觉得作者是什么大神之类,都是些很基本的东西,然后组合起来就成了你们所看到的病毒了。)里面,各种工具和样本以及解密后的文件都会打包发出来的!喜欢围观的朋友围观下吧!
现在需要做的是:开始->运行->msconfig->启动->禁止Qingchu.bat和那个没有名字的启动项,确定->退出不重启->注销;然后再登录就不会弹不会跳更不会叫了如图13、14。


现在我们发现有很多的病毒*.没关系。删除了就行了!什么?删除不鸟?下载个unlocker不就轻松搞定了?如图15:

然后把桌面换回来,把释放出来的文件手动删除了即可。来一张清理完后的高清啊无啊码图:

至此本文并未利用任何杀毒软件已然捏死了貌似很强大的病毒;朋友们是否也准备玩一下呢?欢迎大家与我交流我的百度空间是:http://hi.baidu.com/%D0%A1%C5%F3%D3%D1_home/home
原文:http://doie.net/doie/Article/WebSafe/loudonggonggao/2011/0818/3327.html

用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)