计算机病毒样本下载
czh02232037
2022年11月28日 12:24

病毒分析:微步在线云沙箱 (<s.threatbook.com>)


病毒测试代码: 欧洲计算机防病毒协会提供的测试病毒代码。本代码尽管测试,无任何危险。 ---------------------请复制下面的代码到文本中保存------------------- X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* ---------------------请复制上面的代码到文本中保存------------------- 测试方法: 1.鼠标右键点击桌面空白处,创建一个“文本文档”。 2.将上面这段测试代码复制到“文本”里,保存,然后可以直接右键点击这个文本,用杀毒软件扫描也可以等一会,如果你的杀毒软件还行,会自动报毒并将该文本删除那就可以初步放心了。 测试原理: 该段代码是欧洲计算机防病毒协会开发的一种病毒代码,其中的特征码已经包含在各种杀毒软件的病毒代码库里,所以可以用做测试病毒扫描引擎。 测试等级: 特等:复制完代码后便提示内存有病毒 优等:刚保存完就提示病毒(或者直接删除) 中等:保存后几秒提示病毒(或者直接删除) 下等:需自己启动病毒扫描查杀才提示病毒(或者直接删除)


1.HardDisk breaker病毒

MD5:81ee77e9c9f3cde9dbff84620730bb54 英文名称:Virus.Win9x.HDbreaker.A(标准) 简介:  [ 硬盘终结者 1.1 版 ]           - 计算机使用者的终极恶梦 for Windows95/98/Me     版权所有 (C) 蔬菜工作室 2000-2002

发布时期:      2001.7      

作者自述:

    硬盘终结者是由蔬菜工作室出品的一款极其恶性的硬盘炸弹程序,它是WIN32 PE程序,因为用了VxD技术,所以能在Windows环境中直接写硬盘扇区,而无需象其它同类软件一样要等待重启时进行破坏。     本软件可以直接运行于Windows环境中,运行后立即进行破坏,不会显示任何界面,它会从硬盘第一物理扇区(0柱0面1扇区)开始,向其中写入内存垃圾数据(与CIH发作相同,呵~~~其实就是从CIH学来的^_^)。 使用方法:     在Windows下直接运行HDBreaker.exe即可。 注意:     1.本软件只能运行于Windows95/98/Me。     2.请勿在本机运行HDBreaker.exe,除非你已经做好了牺牲的准备。     3.请勿将其用于非法用途。由本软件引起的任何后果均由使用者本人承担,软件作者概 不承担任何责任。     4.此程序非常危险,务必小心使用。 样本:https://wwx.lanzoui.com/icaj0q6ig8j 2.Panama病毒 MD5:453b5c020aae4c4c462f6e5ef9368ab4 英文名称:Virus.Win32.Panama.A(标准) 简介:打开后会设置自启动并出现一幅巴拿马的图片,之后倒计时一分钟后关机,如果关机被阻止秒数还能继续倒数成为负数。 样本:https://wwx.lanzoui.com/iwFRZq6ig6h 3.Viagra病毒 MD5:81d6608d365553332b24d7010bfa3db5 中文名称:伟哥病毒 英文名称:Virus.Win32.Viagra.A(标准) 简介:类比“伟哥”的效果,该程序会不断地放大和缩小鼠标指针的大小,是一个恶搞程序。 样本:https://wwx.lanzoui.com/iQ7W9qkw5oh 4.JS.Seeker病毒 MD5:e7281ca0c52c686bb56417218867598b 中文名称:同上 英文名称:Virus.JS.Seeker.?(标准) 简介:该网页病毒将3721的搜索联接,IE首页,搜索页还有默认联接修改为XXX网址,并添加注册表启动项"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\win386"键值为&#​34;C:\win386.hta",同时释放病毒体(win386.hta)到C盘根目录下,该病毒还添加用户的收藏夹,并在用户的桌面生成该联接的快捷方式,实际上就是早期的流氓推广程序。 样本:https://wwx.lanzoui.com/iRS5Yqkw5ra 5.Newlove病毒 MD5:d2b8ea4a267c69040c7d3ad80f64f8ba 中文名称:新欢病毒 英文名称:Virus.Win9x.Newlove.A(标准) 简介:其传播途径类似日前喧腾一时的"爱虫病毒,主要感染Windows 95/98/NT/2000,当使用者一旦执行附加文件,病毒即企图经由被感染者Outlook通讯簿发出自动信件,连锁性的大规模散播将造成企业mail server当机。它与爱虫病毒的最大差异处在于,VBS_NEWLOVE.A属于"千面人病毒&#​34;,每繁殖一次就会以不同的病毒码传染到别的地方去,也就是说每一个中毒的文件中所含的病毒码都不一样。更具威胁性的部份是VBS_NEWLOVE.A病毒不似爱虫病毒使用相同的信件标题,VBS_NEWLOVE.A病毒在寄出的email中会随机选用不同的信件标题及附加文件名称,让计算机使用者防不胜防。另外,该病毒会破坏计算机虫目录下的使用者硬盘的文件,连网络邻居中分享资料夹的计算机亦会被破坏。遭感染的文件会遭覆写为0 bytes,造成Windows无法重新开机,系统需要重灌。 样本:https://wwx.lanzoui.com/iiafDqkw5pi 6.Funlove感染型病毒 MD5:7d41ed8c4a9ec4c06312af3a85e15c85 中文名称:同上 英文名称:Virus.Win32.FunLove.A(标准) 简介:   这是WIN32类型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系统。它感染所有WIN32类型的文件(PE文件),如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE,.SCR和.OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测,以便能够感染系统文件。 病毒中有'~Fun Loving Criminal~&#​39;字样。该病毒没有故意的破坏性,但是由于NT系统安全性问题而可能造成的破坏还是应当引起注意的。       同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。       当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码,将其写入该文件中,然后FLCSS.EXE被执行。 如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC&#​34;显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中是不可见的。       在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们:ALER*,AMON*,_AVP*,AVP3*,AVPM*,FPR*,NAVW*,SCAN*,SMSS*,DDHE*,DPLA*,MPLA*。       尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。        如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~&#​39;字串,然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败,而计算机则被锁。 样本:https://wwx.lanzoui.com/itOmJqkw5qj


以下DOS系列病毒,建议有DOS系统的自己运行获得更好体验! 7.  BUPT.9146病毒 MD5:65625a5b3ce9e4b866cc4fd770588799 中文名称:同上 英文名称:Virus.DOS.Bupt.9146.A(标准) 简介:特征.①病毒属良性文件型病毒,被感染COM文件长度增加1367字节,EXE文件增加1364-1379字节,COMMAND.COM文件受病毒保护不被感染.②被感染文件尾部四字节为病毒的标志字节“C6 CECB C9”.③用工具软件可在被感染文件中搜索到字串“Onlyfor experiment.BUPT”. 注:因其表现时屏幕显示“Hello,Welcome to BUPT 9146,Beijing!”故将其命令名为BUPT9146病毒.(也有部分杀软命名为Beijing/WelcomB病毒) 样本:https://wwx.lanzoui.com/iFf4Kqkw5sb 8.Casper病毒 MD5:25a42bd0a267bc752ea43fc061f824bb 中文名称:多态病毒 英文名称:Virus.DOS.Chameleon.Casper.1200(标准) 简介:我们把使用通常的特征码扫描法无法检测(或者极其难以检测)的病毒称为多态病毒。多态病毒避免被检测的方法主要有两种:使用不固定的密钥或者随机数加密病毒代码,或者在病毒运行的过程中改变病毒代码,除了这两种主要的方式外,还有的病毒, 例如“炸弹人”(Bomber)通过一些奇怪的指令序列等方法可以实现多态性。1990年的Tequila 病毒是第一个比较严重的多态病毒攻击。1992 年,出现了第一个多态病毒引擎和病毒编写工具包。 样本:https://wwx.lanzoui.com/iDZHHqq38eh 9.Natas病毒系列 MD5:2b4a499e2d314658b4960400e9fac742 中文名称:幽灵王病毒 英文名称:Virus.DOS.Natas.4740(标准) 简介:Natas 病毒,长度 4740(一说4744)字节,故把它称为 4740病毒,由于病毒是用了变型技术,且既感染文件又感染硬盘引导区,本身的形态几乎有无穷多种,使杀毒软件总漏掉一两个,不知什么时候又冒了出来,所以又称它为‘幽灵王’,其再启动时有1/512的机会要格式化硬盘。 样本:https://wwx.lanzoui.com/in9zTqq38gj(4740)           https://wwx.lanzoui.com/iu6e3qq38ha(4776)           https://wwx.lanzoui.com/i7VtJqq38ib(4826) 这里提供给大家1980-1999年代的3500+病毒大礼包,可供测试和收藏使用,将不再每一个都进行介绍。 样本:https://wwx.lanzoui.com/ikWPFshljgb(有效)