zoukankan      html  css  js  c++  java
  • 一个简单的windows勒索软件分析

    根据分析,此病毒是一个勒索软件,通过修改登录用户密码,留下勒索QQ号码向用户索要金钱. 它调用了Kernel32.dll里的WinExec来执行更改用户密码的cmd命令,密码为107289,更改完密码之后就关闭计算机.

      解决方案:输入密码107289 或者使用PE系统破解密码.

      在修改了最后的关机以及注销命令后  详细分析过程如下:

    先调用GetUserNameA得到当前用户的用户名:

    之后以这个用户名构造一个密码更改字符串:

    为net user FL 107289  ,本虚拟机用户名为FL

    之后调用WinExec来执行

    另外,这个程序还对名为"administrator"的管理员账户也执行了上述更改密码操作,确保所有的账户都被更改了密码.

    之后此程序创建了一个用户,用户名为"加QQ1072890578解锁",107289是密码,同时也是此QQ号前6位

    之后睡眠3秒:

    之后将此用户加入了管理员组:

    之后再睡眠,并关机,注销

    之后便结束了,重启之后便看到了勒索画面.

  • 相关阅读:
    bootloader
    Arm中的c和汇编混合编程
    Linux学习笔记(一)
    java按所需格式获取当前时间
    java 串口通信 rxtx的使用
    Tomcat数据库连接池
    面试
    复习 模拟call apply
    复习 js闭包
    复习js中的原型及原型链
  • 原文地址:https://www.cnblogs.com/cqubsj/p/6617762.html
Copyright © 2011-2022 走看看