如果弟弟有说错了欢迎各位爷在评论指点一下，弟弟会改正的～

今天突然有人在我的群发了一个链接！！！

索性下载来看了看

没壳的话，直接上OD吧！

写文件c:\windwos\system\usb.bat

我找到了这个bat命令：

关闭USB储存设备的盘符自动分配。

干掉USB存储设备的作用文件（这里说明一下，USB存储设备的作用文件有两个，分别是usbstor.inf和usbstor.pnf）

禁止将电脑里的资料拷贝到USB存储设备，意思是把USB存储设备设置只读的，干成残废。 （也就是说，你也可用USB存储设备，但是不能往里边写内容）

关闭IE当前安全设置会使计算机有风险这个提示

写入MBR文件到 c:\windows\system\

禁用任务管理器

遍历找到c:\Users\Administrator\DesktopLonely.exe

（我的内心独白：我透？他写错了吧？代码写错了吧，不是我的OD跑错了吧？？？？)

创建窗口（ 有很多call了CreateWIndowExA 后边看GIF就懂了）

这次终于写对了奥
遍历找到c:\Users\Administrator\Desktop\Lonely.exe

写开机自启动

创建一个窗口，指定了名称：

也就是运行之后的 （这国旗是用脚画的吧？篡改国旗好像犯法吧？）

跟上边一样，也是创建一个窗口，不过后边会用GIF展现给大家看：

要求用户管理员模式运行

使用taskkill 结束 360木马防火墙模块

一堆神仙操作

弟弟我看到这都哭了 ：(
现在去看看他的捆绑吧 一共有三个捆绑，已知又一个是锁机。

先看MBR吧

存个快照 运行看看

双击后啥玩意也没有，但是关机后：

但是也无法输入任何东西，那先看看另外两个捆绑吧！

下面是GIF

（gif过大无法显示，请点击左下角原文查看）

这是病毒主模块执行的样子
现在就就每个病毒的捆绑都干了什么
主模块 其实也就是删除系统文件那些

（gif过大无法显示，请点击左下角原文查看）

MBR锁机

（gif过大无法显示，请点击左下角原文查看）

最后一个捆绑

（gif过大无法显示，请点击左下角原文查看）

至于为啥我在执行主程序的时候没这些，可能是虚拟机太卡了，哈哈哈哈哈

用一句话概况就是改，删，锁，就完事了奥～

至于他的MBR锁了啥我相信已经不重要了，因为你运行这个病毒的那一刻，你的系统文件已经删完了：）

弟弟没啥技术，各位爷就当看看：D GLHF！

样本链接（文件太大样本无法上传）：样本下载

本文由看雪论坛 CatGames 原创

转载请注明来自看雪社区

戳 立即购买！

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com