重大灾难[病毒]：求助！求救！求解！[附APLIB 0.42感染前后]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

重大灾难[病毒]：求助！求救！求解！[附APLIB 0.42感染前后]

发表于: 2005-11-16 18:28 17010

重大灾难[病毒]：求助！求救！求解！[附APLIB 0.42感染前后]

Aming

2005-11-16 18:28

17010

今天突然发现很多文件变成了乱码。
发现2005-11-12日下午修改过的文件基本上变成了乱码，所有的TXT,RAR,BAS,FRM,C,CPP,H,ASM文件都被感染了（好毒啊，好象是针对程序员来的）像是被一种对称的加密算法加密过一样，感染前后文件大小一样。
所有.BAS文件感染后16进制开头是：
3C FE D8 E1 9D A7 1E F8 AB DA EA E7 7D 7C 51 44 A4 8A 76 13 7D
对应明文是
Attribute VB_Name = "
请求帮助！！！
我所有的程序代码全部完蛋了。：（（（（（（（（（（

ZIP没有感染。
排除单位的人搞的，单位的人没哪个懂电脑的。
附件中aPLib-0.42.zip是未被破坏前的，aPLib-0.42[感染后].rar是破坏后的。

附件:aplib.zip 附件:aplib.zip

初步分析好象是用了RC4/5加密，密码不清楚。

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・0

免费

支持

最新回复 (62) 1 2 3 ▶
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 2 楼恐怖啊! 是什么东东?? 2005-11-16 18:43 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 3 楼还没有对RAR进行处理，不然就猛了 2005-11-16 18:45 0
orchid88 雪币： 82 活跃值： (770) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 202 粉丝 3 关注私信	orchid88 4 楼是不是专门针对你的，严重关切！ 2005-11-16 19:07 0
LOCKLOSE 雪币： 15747 活跃值： (5509) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1042 粉丝 21 关注私信	LOCKLOSE 2 5 楼只能说一句了.伤心是开心的妈妈~想想办法补救吧 2005-11-16 19:12 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 6 楼如此恶毒的病毒！是针对所有程序员的公敌！这种病毒传播出去给IT界带来的损失是无比巨大的！完全可以报警！！！！ Aming你一定要赶快报警！！！报告到公安局，查到之后保证可以判病毒制造者5～10年以上的徒刑！ 2005-11-16 22:35 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 7 楼这种病毒只能通过直接运行exe或者通过exe调用专门的dll等库来感染。回想一下自己最近搞了下载、运行了哪些人的哪些程序，然后保留证据，准备打110转国家安全局立案调查吧。因为病毒的意义已经超出对你个人的危害了，而是对社会。对于单纯的盗版和破解某个软件，公安局可能不会怎么认真抓，但是我知道对病毒传播者，公安局是从不手软的！我记得当初我的大学哥们搞了一个无伤害的恶作剧病毒（kv300的“HXH”病毒，根据当时的“dir”病毒改编的），都被公安局抓了。因为他只是开玩笑的、没有任何破坏的良性病毒，所以后来才批准被保释了。 2005-11-16 22:40 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 8 楼恶毒！！ 2005-11-16 23:45 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 9 楼最好要在机器上找出载有病毒代码的程序来，才好分析否则只能假设是rc4或其它某算法来穷举密码了 2005-11-17 00:29 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 10 楼这人也是程序员，估计不会下狠手，加密算法未必很复杂，很多高人都能根据密文看出来什么加密手段，找个高人问问。你在弄个bas文件放那里，早晚它还要被感染，你打开sice，下writefile断点拦截着，别干别的，有事没事就开开电脑，然后找到病毒文件发上来大家给你瞅瞅。在google搜到了这个，你看看有没有帮助： http://72.14.203.104/search?q=cache:mRQk09Vkr6AJ:67.168.243.55/Shi%27Xlon/Warez/AIM/aimfilter/AIM%2520Filter/Module1.bas+3C+FE+D8+E1+9D+A7+1E+F8+Attribute+VB_Name&hl=en 2005-11-17 00:36 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 11 楼同意6楼的意见，还是报警吧，这种病毒太恶毒，如果任其发展，后果不堪设想！ 2005-11-17 09:02 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 12 楼最好能把病毒程序本身找到,然后传一份上来,大家也好分析... 2005-11-17 09:13 0
hangj 雪币： 229 活跃值： (168) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 174 粉丝 1 关注私信	hangj 3 13 楼观注中。。。。 2005-11-17 09:53 0
丁春秋雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	丁春秋 14 楼到杀毒软件的官方论坛问一问,或者给他们发邮件试试. 2005-11-17 10:23 0
herozyf 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 110 粉丝 0 关注私信	herozyf 15 楼为什么不装系统保护软件呢？冰点不错啊 2005-11-17 11:09 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 16 楼我有个初步解决办法，晚上qq等我 2005-11-17 11:21 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 17 楼 Aming:事情没你想象得那么复杂,文件大小没变的情况下,我首先想到的是xor,而且经过分析就是xor,只不过xor的时候,不是用单一的key,而是一组key循环而已.所以,就能够修复的. 2005-11-17 11:22 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 18 楼最初由 heXer 发布我有个初步解决办法，晚上qq等我感谢！！！！！！晚上我等定你了。。。。 2005-11-17 11:37 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 19 楼最初由 peaceclub 发布 Aming:事情没你想象得那么复杂,文件大小没变的情况下,我首先想到的是xor,而且经过分析就是xor,只不过xor的时候,不是用单一的key,而是一组key循环而已.所以,就能够修复的. 我试过XOR，但得到的KEY不一样，所以放弃了这种想法。今天我突然想会不会是卡巴斯基的问题？是不是它在扫描整个磁盘的时候出了什么问题。 2005-11-17 11:48 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 20 楼呵呵.写了个程序,恢复了. 2005-11-17 11:50 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 21 楼不是.就是中了病毒. 2005-11-17 11:50 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 22 楼请提供一个你文件最大的感染文件和原文件给我.我来提供恢复程序给你. 我qq: 84823714 2005-11-17 11:51 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 7 关注私信	dwing 1 23 楼这个病毒给程序员一个警告: 要经常备份你的源程序,以及自己的任何工作成果,做到这点就什么也不怕了. 2005-11-17 11:56 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 24 楼 Aming还是自己写程序吧用最大明文文件 xor 最大密文文件得到最大密码表用最大密码表 xor 其他密文文件就解码了此病毒好像是专门针对你的，别人下次换个算法，你就难弄了 2005-11-17 12:04 0
lfsx 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 169 粉丝 1 关注私信	lfsx 25 楼 2005-11-17 12:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Aming

发帖

117

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (62) 1 2 3 ▶
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 2 楼恐怖啊! 是什么东东?? 2005-11-16 18:43 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 3 楼还没有对RAR进行处理，不然就猛了 2005-11-16 18:45 0
orchid88 雪币： 82 活跃值： (770) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 202 粉丝 3 关注私信	orchid88 4 楼是不是专门针对你的，严重关切！ 2005-11-16 19:07 0
LOCKLOSE 雪币： 15747 活跃值： (5509) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1042 粉丝 21 关注私信	LOCKLOSE 2 5 楼只能说一句了.伤心是开心的妈妈~想想办法补救吧 2005-11-16 19:12 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 6 楼如此恶毒的病毒！是针对所有程序员的公敌！这种病毒传播出去给IT界带来的损失是无比巨大的！完全可以报警！！！！ Aming你一定要赶快报警！！！报告到公安局，查到之后保证可以判病毒制造者5～10年以上的徒刑！ 2005-11-16 22:35 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 7 楼这种病毒只能通过直接运行exe或者通过exe调用专门的dll等库来感染。回想一下自己最近搞了下载、运行了哪些人的哪些程序，然后保留证据，准备打110转国家安全局立案调查吧。因为病毒的意义已经超出对你个人的危害了，而是对社会。对于单纯的盗版和破解某个软件，公安局可能不会怎么认真抓，但是我知道对病毒传播者，公安局是从不手软的！我记得当初我的大学哥们搞了一个无伤害的恶作剧病毒（kv300的“HXH”病毒，根据当时的“dir”病毒改编的），都被公安局抓了。因为他只是开玩笑的、没有任何破坏的良性病毒，所以后来才批准被保释了。 2005-11-16 22:40 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 8 楼恶毒！！ 2005-11-16 23:45 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 9 楼最好要在机器上找出载有病毒代码的程序来，才好分析否则只能假设是rc4或其它某算法来穷举密码了 2005-11-17 00:29 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 10 楼这人也是程序员，估计不会下狠手，加密算法未必很复杂，很多高人都能根据密文看出来什么加密手段，找个高人问问。你在弄个bas文件放那里，早晚它还要被感染，你打开sice，下writefile断点拦截着，别干别的，有事没事就开开电脑，然后找到病毒文件发上来大家给你瞅瞅。在google搜到了这个，你看看有没有帮助： http://72.14.203.104/search?q=cache:mRQk09Vkr6AJ:67.168.243.55/Shi%27Xlon/Warez/AIM/aimfilter/AIM%2520Filter/Module1.bas+3C+FE+D8+E1+9D+A7+1E+F8+Attribute+VB_Name&hl=en 2005-11-17 00:36 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 11 楼同意6楼的意见，还是报警吧，这种病毒太恶毒，如果任其发展，后果不堪设想！ 2005-11-17 09:02 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 12 楼最好能把病毒程序本身找到,然后传一份上来,大家也好分析... 2005-11-17 09:13 0
hangj 雪币： 229 活跃值： (168) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 174 粉丝 1 关注私信	hangj 3 13 楼观注中。。。。 2005-11-17 09:53 0
丁春秋雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	丁春秋 14 楼到杀毒软件的官方论坛问一问,或者给他们发邮件试试. 2005-11-17 10:23 0
herozyf 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 110 粉丝 0 关注私信	herozyf 15 楼为什么不装系统保护软件呢？冰点不错啊 2005-11-17 11:09 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 16 楼我有个初步解决办法，晚上qq等我 2005-11-17 11:21 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 17 楼 Aming:事情没你想象得那么复杂,文件大小没变的情况下,我首先想到的是xor,而且经过分析就是xor,只不过xor的时候,不是用单一的key,而是一组key循环而已.所以,就能够修复的. 2005-11-17 11:22 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 18 楼最初由 heXer 发布我有个初步解决办法，晚上qq等我感谢！！！！！！晚上我等定你了。。。。 2005-11-17 11:37 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 19 楼最初由 peaceclub 发布 Aming:事情没你想象得那么复杂,文件大小没变的情况下,我首先想到的是xor,而且经过分析就是xor,只不过xor的时候,不是用单一的key,而是一组key循环而已.所以,就能够修复的. 我试过XOR，但得到的KEY不一样，所以放弃了这种想法。今天我突然想会不会是卡巴斯基的问题？是不是它在扫描整个磁盘的时候出了什么问题。 2005-11-17 11:48 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 20 楼呵呵.写了个程序,恢复了. 2005-11-17 11:50 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 21 楼不是.就是中了病毒. 2005-11-17 11:50 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 22 楼请提供一个你文件最大的感染文件和原文件给我.我来提供恢复程序给你. 我qq: 84823714 2005-11-17 11:51 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 7 关注私信	dwing 1 23 楼这个病毒给程序员一个警告: 要经常备份你的源程序,以及自己的任何工作成果,做到这点就什么也不怕了. 2005-11-17 11:56 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 24 楼 Aming还是自己写程序吧用最大明文文件 xor 最大密文文件得到最大密码表用最大密码表 xor 其他密文文件就解码了此病毒好像是专门针对你的，别人下次换个算法，你就难弄了 2005-11-17 12:04 0
lfsx 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 169 粉丝 1 关注私信	lfsx 25 楼 2005-11-17 12:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

重大灾难[病毒]：求助！求救！求解！[附APLIB 0.42感染前后]

账号登录 验证码登录

账号登录

验证码登录