[原创]浅析：爱国大黑客的病毒木马-CATGAMES

2019-4-5 22:59 10024

[原创]浅析：爱国大黑客的病毒木马-CATGAMES

UzJu

2019-4-5 22:59

10024

文件名称：lonely.exe
CRC32：299DADAF
MD5：EFE22BBA1EBCB91208B2233C794877B8
SHA-1：52017B61E4B0576F913EBF7F1EEBD006FE8A77B4

如果弟弟有说错了欢迎各位爷在评论指点一下，弟弟会改正的～

浅析一个爱国大黑客的病毒木马
今天突然有人在我的群发了一个链接！！！

索性下载来看了看

0x01

没壳的话直接上OD吧

0x02

获取USB设备使用信息

写文件c:\windwos\system\usb.bat

我找到了这个bat命令

关闭USB储存设备的盘符自动分配
干掉USB存储设备的作用文件（这里说明一下，USB存储设备的作用文件有两个，分别是usbstor.inf和usbstor.pnf）
禁止将电脑里的资料拷贝到USB存储设备，意思是把USB存储设备设置只读的，干成残废。（也就是说，你也可用USB存储设备，但是不能往里边写内容）

关闭IE当前安全设置会使计算机有风险这个提示

写入MBR文件到c:\windows\system\

禁用任务管理器

遍历找到c:\Users\Administrator\DesktopLonely.exe(我的内心独白：我透？他写错了吧？代码写错了吧，不是我的OD跑错了吧？？？？)

创建窗口（有很多call了CreateWIndowExA 后边看GIF就懂了）

这次终于写对了奥
遍历找到c:\Users\Administrator\Desktop\Lonely.exe

写开机自启动

创建一个窗口，指定了名称

也就是运行之后的（这国旗是用脚画的吧？篡改国旗好像犯法吧？）

跟上边一样也是创建一个窗口，不过后边会用GIF展现给大家看

要求用户管理员模式运行

使用taskkill 结束 360木马防火墙模块

一堆神仙操作

弟弟我看到这都哭了：（
现在去看看他的捆绑吧一共有三个捆绑已知又一个是锁机

先看MBR吧

存个快照运行看看

双击后啥玩意也没有
但是关机后

但是也无法输入任何东西

那先看看另外两个捆绑吧！

0x03

基本上病毒就这些东西下面是GIF

这是病毒主模块执行的样子
现在就就每个病毒的捆绑都干了什么
主模块其实也就是删除系统文件那些

MBR锁机

最后一个捆绑

至于为啥我在执行主程序的时候没这些可能是虚拟机太卡了哈哈哈哈哈哈

用一句话概况就是改，删，锁，就完事了奥～
至于他的MBR锁了啥我相信已经不重要了，因为你运行这个病毒的那一刻，你的系统文件已经删完了：）

弟弟没啥技术，各位爷就当看看：D GLHF！

样本链接（文件太大样本无法上传）：样本下载

CATGAMES的小窝

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2019-4-5 23:02 被UzJu编辑，原因：

#病毒木马 #调试逆向

收藏・17

点赞・9

打赏

最新回复 (49) 1 2 ▶
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-5 23:08 2 楼 0
皮皮虾啊雪币： 1337 活跃值： (3032) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 71 粉丝 3 关注私信	皮皮虾啊 2019-4-5 23:25 3 楼 0 哈哈哈学到知识了（表情包真滴好玩）
bkhumor 雪币： 1006 活跃值： (3275) 能力值： (RANK：15 ) 在线值：发帖 19 回帖 191 粉丝 3 关注私信	bkhumor 2019-4-6 00:48 4 楼 0
hzqst 雪币： 12839 活跃值： (9018) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1792 粉丝 541 关注私信	hzqst 3 2019-4-6 06:29 5 楼 0 战狼病毒
一半人生雪币： 5413 活跃值： (11835) 能力值： ( LV12，RANK：312 ) 在线值：发帖 26 回帖 385 粉丝 189 关注私信	一半人生 5 2019-4-6 08:09 6 楼 0 求求你别秀了光看表情包了......
我要学雪币： 11773 活跃值： (2766) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	我要学 2019-4-6 08:55 7 楼 0 这不是一篮子USB解决方案吗，厉害
大鱼吃小鱼雪币： 68 活跃值： (782) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	大鱼吃小鱼 2019-4-6 10:14 8 楼 0 应经中毒
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-6 11:12 9 楼 0 理想小青年求求你别秀了光看表情包了...... 。。。。技术不够表情来凑
暖洋洋雪币： 9858 活跃值： (2984) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 97 粉丝 1 关注私信	暖洋洋 2019-4-6 12:08 10 楼 0 O(∩_∩)O哈哈哈~
没有司机的兔雪币： 85 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	没有司机的兔 2019-4-6 13:20 11 楼 0 弱弱的问一句，物理机什么系统啊，怪好看的。
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-6 13:40 12 楼 0 没有司机的兔弱弱的问一句，物理机什么系统啊，怪好看的。 deepin linux
没有司机的兔雪币： 85 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	没有司机的兔 2019-4-6 16:45 13 楼 0 CatGames deepin linux 谢谢大佬，虚拟机先体验下去。
wx_#有事就留言雪币： 221 能力值： (RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	wx_#有事就留言 2019-4-6 17:30 14 楼 0 那个关掉360的方法，有用么，我去测试下
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-6 17:50 15 楼 0 wx_#有事就留言那个关掉360的方法，有用么，我去测试下用CMD命令结束而已
lhxdiao 雪币： 2063 活跃值： (3823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 181 粉丝 110 关注私信	lhxdiao 2019-4-6 18:33 16 楼 0 这种够吓住一般的小白用户了
Nerium 雪币： 494 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	Nerium 2019-4-6 22:01 17 楼 0 如此病毒，受教了。
邓dg 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 103 粉丝 0 关注私信	邓dg 2019-4-6 23:25 18 楼 0 楼主牛逼
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-7 10:56 19 楼 0 邓dg 楼主牛逼 ......
anfly 雪币： 125 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	anfly 2019-4-7 19:59 20 楼 0 CatGames 用CMD命令结束而已[em_13] taskkill 能搞定360 不会吧
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-7 21:34 21 楼 0 anfly taskkill 能搞定360 不会吧他觉得而已：）
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2434 粉丝 0 关注私信	petersonhz 2019-4-8 01:04 22 楼 0 CatGames 他觉得而已：） lonly.exe是你开发的么
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-8 11:24 23 楼 0 petersonhz lonly.exe是你开发的么[em_48] 我？当然不是我
不对雪币： 6712 活跃值： (2616) 能力值： ( LV4，RANK：52 ) 在线值：发帖 4 回帖 108 粉丝 27 关注私信	不对 2019-4-8 14:40 24 楼 0 那个估计是lstrcatA的时候忘了链接一个反斜杠了，不过问题不大，反正主要目的应该是搞掉MBR的鹅且，我敢说，装了360的机器，不用底层的话，是结束不掉的，而且，，似乎对MBR也有防护，而且对写文件也有防护，，估计着这个文件最好的结局，就是落地就死吧？
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-8 15:02 25 楼 0 不对那个估计是lstrcatA的时候忘了链接一个反斜杠了，不过问题不大，反正主要目的应该是搞掉MBR的鹅且，我敢说，装了360的机器，不用底层的话，是结束不掉的，而且，，似乎对MBR也有防护，而 ... 必死我刚下载完它还在压缩包火绒秒杀
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

UzJu

发帖

405

回帖

580

RANK

关注

私信

他的文章

Windows11 LogonUI.exe 系统在应用程序中检测到基于堆栈都缓冲区溢出，溢出允许恶意用户获得此应用程序都控制。

[分享]AC-baidu油猴(Tampermonkey)谷歌搜索黑色模式有白色块解决办法

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) 1 2 ▶
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-5 23:08 2 楼 0
皮皮虾啊雪币： 1337 活跃值： (3032) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 71 粉丝 3 关注私信	皮皮虾啊 2019-4-5 23:25 3 楼 0 哈哈哈学到知识了（表情包真滴好玩）
bkhumor 雪币： 1006 活跃值： (3275) 能力值： (RANK：15 ) 在线值：发帖 19 回帖 191 粉丝 3 关注私信	bkhumor 2019-4-6 00:48 4 楼 0
hzqst 雪币： 12839 活跃值： (9018) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1792 粉丝 541 关注私信	hzqst 3 2019-4-6 06:29 5 楼 0 战狼病毒
一半人生雪币： 5413 活跃值： (11835) 能力值： ( LV12，RANK：312 ) 在线值：发帖 26 回帖 385 粉丝 189 关注私信	一半人生 5 2019-4-6 08:09 6 楼 0 求求你别秀了光看表情包了......
我要学雪币： 11773 活跃值： (2766) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	我要学 2019-4-6 08:55 7 楼 0 这不是一篮子USB解决方案吗，厉害
大鱼吃小鱼雪币： 68 活跃值： (782) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	大鱼吃小鱼 2019-4-6 10:14 8 楼 0 应经中毒
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-6 11:12 9 楼 0 理想小青年求求你别秀了光看表情包了...... 。。。。技术不够表情来凑
暖洋洋雪币： 9858 活跃值： (2984) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 97 粉丝 1 关注私信	暖洋洋 2019-4-6 12:08 10 楼 0 O(∩_∩)O哈哈哈~
没有司机的兔雪币： 85 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	没有司机的兔 2019-4-6 13:20 11 楼 0 弱弱的问一句，物理机什么系统啊，怪好看的。
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-6 13:40 12 楼 0 没有司机的兔弱弱的问一句，物理机什么系统啊，怪好看的。 deepin linux
没有司机的兔雪币： 85 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	没有司机的兔 2019-4-6 16:45 13 楼 0 CatGames deepin linux 谢谢大佬，虚拟机先体验下去。
wx_#有事就留言雪币： 221 能力值： (RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	wx_#有事就留言 2019-4-6 17:30 14 楼 0 那个关掉360的方法，有用么，我去测试下
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-6 17:50 15 楼 0 wx_#有事就留言那个关掉360的方法，有用么，我去测试下用CMD命令结束而已
lhxdiao 雪币： 2063 活跃值： (3823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 181 粉丝 110 关注私信	lhxdiao 2019-4-6 18:33 16 楼 0 这种够吓住一般的小白用户了
Nerium 雪币： 494 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	Nerium 2019-4-6 22:01 17 楼 0 如此病毒，受教了。
邓dg 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 103 粉丝 0 关注私信	邓dg 2019-4-6 23:25 18 楼 0 楼主牛逼
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-7 10:56 19 楼 0 邓dg 楼主牛逼 ......
anfly 雪币： 125 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	anfly 2019-4-7 19:59 20 楼 0 CatGames 用CMD命令结束而已[em_13] taskkill 能搞定360 不会吧
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-7 21:34 21 楼 0 anfly taskkill 能搞定360 不会吧他觉得而已：）
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2434 粉丝 0 关注私信	petersonhz 2019-4-8 01:04 22 楼 0 CatGames 他觉得而已：） lonly.exe是你开发的么
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-8 11:24 23 楼 0 petersonhz lonly.exe是你开发的么[em_48] 我？当然不是我
不对雪币： 6712 活跃值： (2616) 能力值： ( LV4，RANK：52 ) 在线值：发帖 4 回帖 108 粉丝 27 关注私信	不对 2019-4-8 14:40 24 楼 0 那个估计是lstrcatA的时候忘了链接一个反斜杠了，不过问题不大，反正主要目的应该是搞掉MBR的鹅且，我敢说，装了360的机器，不用底层的话，是结束不掉的，而且，，似乎对MBR也有防护，而且对写文件也有防护，，估计着这个文件最好的结局，就是落地就死吧？
UzJu 雪币： 452 活跃值： (6123) 能力值： (RANK：580 ) 在线值：发帖 57 回帖 405 粉丝 111 关注私信	UzJu 8 2019-4-8 15:02 25 楼 0 不对那个估计是lstrcatA的时候忘了链接一个反斜杠了，不过问题不大，反正主要目的应该是搞掉MBR的鹅且，我敢说，装了360的机器，不用底层的话，是结束不掉的，而且，，似乎对MBR也有防护，而 ... 必死我刚下载完它还在压缩包火绒秒杀
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

[原创]浅析：爱国大黑客的病毒木马-CATGAMES

文件名称：lonely.exe CRC32：299DADAF MD5：EFE22BBA1EBCB91208B2233C794877B8 SHA-1：52017B61E4B0576F913EBF7F1EEBD006FE8A77B4

如果弟弟有说错了欢迎各位爷在评论指点一下，弟弟会改正的～

浅析一个爱国大黑客的病毒木马 今天突然有人在我的群发了一个链接！！！

索性下载来看了看

0x01

没壳的话 直接上OD吧

0x02

获取USB设备使用信息

写文件c:\windwos\system\usb.bat

我找到了这个bat命令

关闭IE当前安全设置会使计算机有风险这个提示

写入MBR文件到c:\windows\system\

禁用任务管理器

遍历找到c:\Users\Administrator\DesktopLonely.exe(我的内心独白：我透？他写错了吧？代码写错了吧，不是我的OD跑错了吧？？？？)

创建窗口（ 有很多call了CreateWIndowExA 后边看GIF就懂了）

这次终于写对了奥 遍历找到c:\Users\Administrator\Desktop\Lonely.exe

写开机自启动

创建一个窗口，指定了名称

也就是运行之后的 （这国旗是用脚画的吧？篡改国旗好像犯法吧？）

跟上边一样 也是创建一个窗口，不过后边会用GIF展现给大家看

要求用户管理员模式运行

使用taskkill 结束 360木马防火墙模块

一堆神仙操作

弟弟我看到这都哭了 ：（现在去看看他的捆绑吧 一共有三个捆绑 已知又一个是锁机

双击后啥玩意也没有但是关机后

0x03

这是病毒主模块执行的样子 现在就就每个病毒的捆绑都干了什么主模块 其实也就是删除系统文件那些

MBR锁机

用一句话概况就是改，删，锁，就完事了奥～至于他的MBR锁了啥我相信已经不重要了，因为你运行这个病毒的那一刻，你的系统文件已经删完了：）弟弟没啥技术，各位爷就当看看：D GLHF！

样本链接（文件太大样本无法上传）：样本下载

CATGAMES的小窝

文件名称：lonely.exe
CRC32：299DADAF
MD5：EFE22BBA1EBCB91208B2233C794877B8
SHA-1：52017B61E4B0576F913EBF7F1EEBD006FE8A77B4

浅析一个爱国大黑客的病毒木马
今天突然有人在我的群发了一个链接！！！

没壳的话直接上OD吧

创建窗口（有很多call了CreateWIndowExA 后边看GIF就懂了）

这次终于写对了奥
遍历找到c:\Users\Administrator\Desktop\Lonely.exe

也就是运行之后的（这国旗是用脚画的吧？篡改国旗好像犯法吧？）

跟上边一样也是创建一个窗口，不过后边会用GIF展现给大家看

弟弟我看到这都哭了：（
现在去看看他的捆绑吧一共有三个捆绑已知又一个是锁机

双击后啥玩意也没有
但是关机后

这是病毒主模块执行的样子
现在就就每个病毒的捆绑都干了什么
主模块其实也就是删除系统文件那些

用一句话概况就是改，删，锁，就完事了奥～
至于他的MBR锁了啥我相信已经不重要了，因为你运行这个病毒的那一刻，你的系统文件已经删完了：）

弟弟没啥技术，各位爷就当看看：D GLHF！