机器猫病毒--“哆啦A梦”已成为电脑杀手

youba

解决15楼的问题！

Graybird

Starting the file scan:

Begin scan in 'E:\virus\HOOK.dll.rar'
E:\virus\HOOK.dll.rar
  [0] Archive type: RAR
  --> VKidding\HOOK.dll
      [DETECTION] Is the Trojan horse TR/Hook.Kids.A
      [INFO]      The file was deleted!

IllusionWing

没啥。。就是生成autorun..把任务拦隐藏

冷冷

IK
I:\virus\机器猫病毒.rar:\VKidding\autorun.inf
I:\virus\机器猫病毒.rar:\VKidding\KID.exe - Signature 'Trojan.Win32.Agent.dfr' found
I:\virus\机器猫病毒.rar

        3 Files scanned
          (1 Archiv with 2 files)
        1 Signature found
        0 Suspect code-parts found
        Used time: 0:00.078

mox

没有HOOK.dll情况下












加了hook倒发现什么动作.蓝屏一下.结束程序就好了.

Nblock

病毒分析

     该程序被激活后，检查自启动项下是否存在VKidding_vk子键，如果不存在则添加名为VKidding_vk启动项，其映射路径为C:\VKidding\kid.exe,以达到随系统启动的目的；播放病毒自身资源中动画片《机器猫》中一段插曲音乐，同时修改注册表项使Windows任务管理器不能正常使用；加载动态链接库HOOK.DLL通过全局键盘和鼠标钩子截获键盘和鼠标消息使其不能被Windows操作系统正常接收处理,将显示器屏幕打印成蓝色并隐藏任务栏；依次遍历C盘到L盘在其根目录下生成隐藏文件autorun.inf和存放副本的隐藏目录VKidding，目录中包括autorun.inf、HOOK.DLL、kid.exe，使用Windows自动播放功能使病毒传播。

技术细节

中毒之后的计算机将播放动画片《机器猫》中一段格式wav的插曲音乐，伴随着音乐屏幕瞬间变成蓝色，在此病毒通过hook消息的方式使得键盘和鼠标部分功能失效，无法激活任何应用程序，由于windows自身机制此方式无法hook键盘CTRL+ALT+DEL组合键的消息，所以任务管理器才会被病毒作者禁用；重启计算机后由于病毒启动项加载病毒，依然导致上述现象发生，使得用户系统瘫痪 。

病毒修改的注册表项：
项：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
键值：VKidding_vk
指向文件：C:\VKidding\kid.exe

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
键值：DisableTaskMgr
指向变量：1

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

IllusionWing

扫描报Gen.

沸沸

凑机器狗的热闹？

sharkkong

已检测到: 木马程序 Trojan.Win32.Agent.dfr        URL: http://bbs.kafan.cn/attachment.php?aid=199674//VKidding/KID.exe

jimmyleo

上次还见着 avira报麦当劳来着...


ps:刚刚惊奇的发现 avira和avg也交换样本来着...