彩虹小猫病毒简介

已于 2023-05-20 18:40:31 修改
阅读量6.8k 收藏 15
点赞数 2
分类专栏: 大型病毒简介 文章标签: etl工程师
于 2023-05-17 19:45:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77934503/article/details/130733423
版权
彩虹猫病毒,又名MEMZ,是一款2019年出现的MBR类型病毒,会篡改用户MBR导致重启后出现彩虹猫画面,同时引发鼠标键盘失效、弹窗、负片效果等一系列问题。尽管不采用隐藏技术,但因其最终界面的彩虹猫和洗脑音乐,曾在互联网上引起二创热潮。病毒通过修改MBR主引导扇区,影响电脑正常启动,并具备多个感染阶段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

彩虹猫病毒最早出现于2019年,是一款MBR类型病毒,中招的用户MBR会被篡改重启后无法正常进入系统只会出现彩虹猫的动画。同时在中招之后用户的鼠标和键盘会间歇性失效,桌面不断出现弹窗并且出现负片效果,鼠标图标会被修改,发出错误提示的声音,诺通过任务管理器关闭MEMZ.exe进程桌面会出现大量弹窗,随后出现蓝屏。从功能上看,它是一款恶作剧病毒。该病毒会修改MBR主引导扇区,以此来破坏电脑的正常启动。在修改MBR后,电脑重启会停留在一个彩虹猫的画面,因此该病毒被称为是彩虹猫病毒。由于该病毒没有采取隐藏或者规避查杀等技术,所以比较适合像新手进行分析。此外,由于该病毒最终界面的彩虹猫十分可爱以及洗脑的“NyanNyanNyan”背景音乐,在互联网上短暂掀起了二创热潮。

一、描述

彩虹猫病毒,又称MEMZ,是作者Leurak2016年编写的特洛伊木马,来源于德国,主要由C++汇编这两种编程语言编写的, 源文件的扩展名一般为.exe.bat

MEMZ是一种能运行于微软Windows操作系统的木马。它最初诞生是源于Danooct1的“观赏性恶意软件”系列。该木马拥有好几个感染阶段,并且全部阶段都由其他阶段自动触发,某些会延迟执行。 它能以.exe文件方式和批处理文件去运行。其中批处理版本的运行方式类似于压缩文件的自解压,然后运行解压出来的.exe文件。

二、效果

根据Leurak所描述,它的过程有:

  • 打开一个标题为“note”的txt文本文档,里面是英文“YOUR COMPUTER HAS BEEN FUCKED BY THE MEMZ TROJAN. Your computer won't boot up again, so use it as long as you can! :D Trying to kill MEMZ will cause your system to be destroyed instantly, so don't try it :D ”
  • 随机打开(搜索)网页、应用程序
  • 鼠标指针的移动
  • 随机键盘输入
  • 错误的提示声效(依据操作系统而改变)
  • 颜色反转
  • 弹出消息框
  • 绘制错误图标
  • 大部分的文字会被反转(在Windows XP下开始按钮的文字也会被反转)
  • 对整个屏幕进行截屏(“隧道效果”)
  • 出现屏幕失灵的现象
  • MBR分区被重写。分区表也可能被破坏

其他感染阶段(后面版本才增加的)

  • 随机的芯片音乐
  • 随机屏幕错位

5fee037d6c9e40ca87fecd02dd368afb.png64e0f80d97464b9e9828bc6cb2512708.png4e62cc061f9d4a6a9dbe682cdae44694.pnga51eeb77edb94455b63c09f459a8b4bd.png411924518cb34b78b434657137ba4182.pngd67d9ebedf714f01800b01a689f193d7.png5d07514d79b546fb958f6c9cd93dc56a.png  

三、源代码(最好不要运行,我没有试)

int scrw, scrh;
 
#ifdef CLEAN
HWND mainWindow; // In the main window, in the main window, in the main window, ...
HFONT font;
HWND dialog;
#endif
 
void main() {
    scrw = GetSystemMetrics(SM_CXSCREEN);
    scrh = GetSystemMetrics(SM_CYSCREEN);
 
#ifndef CLEAN
    int argc;
    LPWSTR *argv = CommandLineToArgvW(GetCommandLineW(), &argc);
 
    if (argc > 1) {
        if (!lstrcmpW(argv[1], L"/watchdog")) {
            CreateThread(NULL, NULL, &watchdogThread, NULL, NULL, NULL);
 
            WNDCLASSEXA c;
            c.cbSize = sizeof(WNDCLASSEXA);
            c.lpfnWndProc = WindowProc;
            c.lpszClassName = "hax";
            c.style = 0;
            c.cbClsExtra = 0;
            c.cbWndExtra = 0;
            c.hInstance = NULL;
            c.hIcon = 0;
            c.hCursor = 0;
          

最低0.47元/天 解锁文章
青少年编程 中国电子学会scratch等级考试三级历年真题解析【持续更新 已更新至2024年12月】
青少年编程学习指导
08-16 2万+
​中国电子学会scratch等级考试三级历年真题解析 Scratch三级历年真题讲解(21套) 二、培养目标 掌握高级编程功能操作 掌握变量、随机数、广播消息、克隆体等高级功能的应用,能灵活使用画笔模块的参数设置(如调整画笔粗细、颜色) 能够通过变量控制程序逻辑跳转,理解变量的作用域,并通过逻辑运算与关系运算组合解决实际问题。 复杂逻辑处理能力 熟练使用选择语句(如条件嵌套)和循环语句(如循环嵌套),并能根据条件真假跳出循环 应用克隆功能生成并控制多个克隆体,实现动态效果(如游戏中的子弹发射、角色分身等)
EXE正版 彩虹病毒免费下载【永久有效】
bat_and_vbs的博客
11-17 1万+
彩虹病毒下载
破解彩虹病毒
weixin_46352402的博客
09-28 8217
有时,你的电脑可能会被黑客攻击,患上彩虹病毒,你只能无奈地重装系统,那么接下来就让我来教你不重装系统赶走它! 第一步:打开windows PE。 第二步:打开PE自带的diskgenius软件。 第三步:中了彩虹病毒,分区应该处于空闲状态。这时点击搜索分区,搜索完之后,点击下面的 保留(如硬盘有多个分区,可能会搜索多次)然后你会发现分区都找回来了。 第四步:分区找完了,到还没结束,因为彩虹会破坏你的启动引导文件,所以退出diskgenius软件并打开PE自带的引导修复软件,选择被攻击的操作系统,进行
彩虹病毒有多可怕+代码
最新发布
w15425523252的博客
03-02 562
彩虹是一种MBR病毒,如果你运行了它,会出现两个警告窗口,点击两次确定,会出现文本文档窗口。过几秒,出现警告、错误、信息等声音,还会反色。如果你用任务管理器关闭它,出现大量错误窗口,最后蓝屏。当你再次打开,出现一行文字,然后出现彩虹
MEMZ彩虹病毒讲解
m0_70379664的博客
04-18 7670
MEMZ
Pytorch源码分析
天边一坨浮云
11-28 3431
目录 命名空间/类/方法/函数/变量 torch.autograd.Function中的ctx参数 DDP(DistributedDataParallel)的构造函数 torch.floor(input, out=None) nametuple argmax view函数 void c10::TensorImpl::refresh_contiguous void c10::TensorImpl::refresh_numel numel()函数 ExecutionStep Devi..
彩虹详细简介
2301_78858007的博客
07-14 1250
在这里给大家提一个醒,以watchdog为参数运行的MEMZ.exe进程是有5个的,也就是说这里看到的创建一个线程是“某个进程“的行为,5个进程一共应该创建了5个线程,在后面的分析中大家也要注意这一点。在参数的判断阶段,jnz指令控制了参数判断后程序的执行路径,按空格并在弹出的窗口输入nop,勾选“使用NOP填充”,点击汇编按钮后该行原本的6字节指令变为6个nop,nop的意思是CPU不执行任何动作,那么程序执行到此处,就永远不会发生跳转,一定会执行watchdog部分,我们的目的就达到了。
有关彩虹病毒的一些小小的分析
Mssssss1的博客
05-29 1273
有关/main部分:调用:利用shellExecuteExW,参数为/main 进到/main的功能部分:上边所说的main进程,主要的功能部分是下方,从开始看起,定义了两个变量V8,V9,V8初始化为0,V9初始化为了一个静态的(因为以OFF开头)地址 点进V9的地址内部,发现V9是函数的地址集合,里面包含了10个地址集,也就是10个函数的起始地址,两个双字节型的变量排列的很整齐,基本上是一个地址一个值,所以猜想V9存储的是一个结构体型的数组 继续往下看...
彩虹(MEMZ)病毒:揭秘与防范
小海
01-22 1950
彩虹(MEMZ)病毒
彩虹源代码
wyx12346的博客
05-01 1万+
@echo off echo UEsDBBQAAAAIAHV36kiQ6IfZcyEAAAA6AAAIAAAATUVNWi5leGXtew10U8e17kg6soUtjACbGGzi>x echo AxgMyD9Hlm1sY4JkW2AH/wjLP5BgB9k6RhKSjqIfbKcJyBgaqw65tM1NIJckNE1705Tcpi3JJWma>>x echo OD830Da0TptFSQOpXx7NFSnhmYRbnIRw3jfnyMZpfmCt99b7WauzvM+c2TOz95
Scratch3.0作品源码100个(小游戏)
11-08
001疯狂的小猫 002舞台表演 003七彩甲虫 004魔法飞行 005公鸡捉电 006饥饿的鲨鱼 007变脸特效 008制作动画电影 009简单迷宫 010美妙的图形 011巡线小鼠 012繁星满天 013聊天机器人 014天天向上 015风车转转转 016...
病毒原理(概述)
09-19
计算机病毒的特性、工作机理等都有比较详细的描述。对于反病毒学习入门有些帮助。放在手机上随时学习。
MEMZ纯净版
02-11
MEMZ彩虹纯净版 运行后和彩虹的效果一样 只是脚本代码不会篡改系统mbr 再次开机不会出现彩虹动画 如果想退出效果 可按键盘Esc键和Shift键
MEMZ彩虹病毒资源免费下载
2401_83947075的博客
08-02 1万+
MEMZ彩虹病毒资源免费下载,百度网盘获取,免费。下载后运行以下程序即可,建议在虚拟机上运行。
病毒
一个好吃的人
03-16 747
  最近院里病毒泛滥.每天忙得死去活来.          一种很恶心的代码潜伏在系统盘以外的文件中. 只要双击文件夹,就会出现以下症状:          1.安全模式蓝屏           2.动不动死机或重启.         3.任何盘都无法打开.        4. 隐藏文件看不见.          5.杀毒软件无法安装和启动.            等等
scratch制作彩虹病毒模拟器
weixin_46397475的博客
04-26 4235
scratch制作彩虹病毒模拟器 hello,大家好。 编程慢慢更加接近生活,甚至小孩也开始学了,比如scratch编程,小编今天就带了一件作品(彩虹病毒模拟器) 我们先看一下效果| 做的还可以,来看一下代码吧! 只要的代码———— 然后编辑背景,可以自己做 也可以像小编这样———— 好了,说到这,拜拜!!! ...
计算机病毒鬼畜,[原创]彩虹病毒的逆向
weixin_32277761的博客
07-15 1494
搞了一个彩虹病毒,运行了一下,还挺好玩的执行效果:第一次警告:%20第二次警告:记事本显示提示信息:大致意思是说你电脑完犊子了,快使用它把,也别杀死进程,不然系统会变的一团糟之后就是一段鬼畜像极了去蹦迪的我最后系统蓝屏,重启后就是彩虹的图片初步分析:样本信息:查壳:无壳这里我先使用ProcessMonitor查看一下程序会进行哪些操作注:因为会运行程序,所以提前备份一下进程树:所以可以推测:...
你听说过彩虹病毒吗?
资深程序员,曾自学JAVA,C#,如今从业于网安行业
11-27 1560
病毒运行后,首先,他会警告你“你的电脑将被杀死并且不能再次启动,请最后再看他一眼吧”,然后开始慢慢的随机打开你的程序,随后你的鼠标就会开始不受控制的抖动,你的桌面开始出现反色,并且它会不断给你复制图标和窗口,最后则是对你的窗口进行缩放粘贴,这个过程会持续很久,直到你的电脑崩溃,当你重启电脑后,我们的主角彩虹终于登场了,他会提示你“你的电脑已经被彩虹破坏了”,随后不断播放彩虹奔跑的动画。没想到啊,在这么可爱的外表下竟然藏着这么一个流氓病毒,那么问题来了,如果你有这个病毒,你会发给谁呢?
MEMZ木马病毒
热门推荐
ciudadcaa的博客
05-16 1万+
今天做蠕虫弄个memz病毒,把虚拟机搞崩了,重装了一下才解决,详细的了解了一下这种病毒。 MEMZ病毒: MEMZ病毒又称彩虹病毒,在运行时,该病毒会不断弹窗导致系统无法正常运行,如果尝试结束MEMZ进程或重启系统,桌面会弹出无数个包含“火星文”的消息对话框,随后计算机进入蓝屏状态。重启后,会在屏幕顶部出现一段英文(译文:你的电脑已经被MEMZ病毒损坏,现在一起来欣赏彩虹吧),最后出现一个跳跃的“彩虹”动画。 运行环境:虚拟机!!!! 源代码:Github上有源码,不过好像是越南语的注释,不太
python彩虹病毒
01-30
### Python 编写的彩虹病毒分析 #### 背景介绍 彩虹病毒是一种通过社交媒体传播的恶意软件变种,通常伪装成有趣的视频或图片文件。一旦执行,可能会窃取个人信息、破坏数据或进一步感染其他设备。 #### 工作原理 这种类型的病毒主要利用社会工程学技巧诱骗用户下载并运行恶意脚本。常见的传播方式包括但不限于电子邮件附件、即时通讯工具分享链接以及社交平台上的虚假广告。当受害者点击了看似无害的内容后,隐藏在其后的Python脚本就会被执行[^1]。 ```python import os import sys def spread_virus(): """模拟病毒扩散行为""" print("正在尝试复制到其他位置...") def steal_information(): """模拟信息窃取过程""" print("收集敏感资料中...") if __name__ == "__main__": # 执行病毒功能模块 spread_virus() steal_information() ``` 请注意上述代码仅为概念验证性质,并不具备实际危害能力;真正的恶意程序会更加复杂隐蔽。 #### 应对措施 为了有效防范此类威胁: - 安装可靠的防病毒软件并保持更新; - 不轻易打开未知来源的邮件附件或点击可疑链接; - 对于任何请求权限的应用都要谨慎评估其必要性和安全性; - 使用防火墙和其他网络安全防护手段来阻止未授权访问; - 教育员工识别潜在的社会工程技术攻击特征。 #### 技术解决方案 如果已经受到感染,则建议采取如下行动清除系统中的残留物: 1. 断开网络连接以防进一步的数据泄露; 2. 运行全面的反间谍/杀毒扫描查找所有受污染组件; 3. 删除发现的所有可疑文件和注册表项; 4. 修改被更改过的账户密码; 5. 检查是否有重要的文档备份丢失情况发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值