回到主页

01 - 关于 Windows XP Horror

收录于Wiki-软件-病毒解析

· 软件类

Windows XP 恐怖版

关于

制造者:WobbyChip

类型:应用

发布日期:2018(未曾考证)

Windows XP Horror Edition(也称为 WinXP.Horror.Destructive)是由 WobbyChip 创建的尖叫应用程序。它首先分发给 YouTube 用户 Siam Alam,在他的频道上展示。

有效载荷

Windows XP Horror Edition 是一个程序,它伪装成 Windows XP 更新,而是将恶意软件安装到用户的计算机上。一旦启动,该程序就会提供 Windows XP 的虚假更新,并附有 title.wma,更广为人知的是 VelkommenWindows 欢迎音乐。更新进展到 66% 完成率(编者注:在西方,666是不吉利的),然后发出一条错误消息,内容如下:

Setup cannot copy the file ntdll.dll

Setup will use the file 666.sys

当用户单击“确定”时,背景变为红色,Windows XP 徽标变为单色眼睛,文字“Don't Look Behind You”伴随着 Shane Keen 的歌曲“Creepy Music Box”。在 100% 完成时,屏幕会切换到故障静态,然后变黑,光标仍然可见。短暂停顿后,屏幕会显示一个红色的 Windows XP 启动动画,其中徽标被替换为一个红色的头骨(最骇人的一段),眼睛看着用户。动画完成后,它进入欢迎屏幕,该屏幕现在是红色的,并且有一个黑色的哭泣的眼睛。

一旦用户启动到 Windows XP 恐怖版,他们就会看到一个装满骷髅头的桌面壁纸,“开始”按钮被替换为写着“DEAD”和一只血白的手,以及四个标记为“我的电脑”、“什么都没有”、“不要打开ME.txt”和“回收站”的图标。桌面背景变为各种令人毛骨悚然的图片和故障效果,伴随着《英雄联盟》中的“Threshthe Chain Warden”。该恶意软件还会将默认光标更改为血腥光标,当将鼠标悬停在某些资产上时,它会变为眼球光标。

单击标有“DEAD”的按钮将打开“开始”菜单,该菜单以红色显示,并显示用户名已更改为“666”,并且用户图标已更改。有两行带有鲜血飞溅的乱码文本,单击它们会使它们消失。单击用户图标会以一扇木门迎接用户,木门会在片刻后打开并发出响亮的吱吱声。然后,用户被《寂静岭》演示版的丽莎吓了一跳,然后迎接他们的是屏幕上用血写成的文字“GO TO SLEEP”。从此时开始,每当打开“开始”菜单时,用户图标都会以故障方式抽搐。

打开“DON'T OPEN ME.txt”文件会打开一个假的记事本窗口,上面有血腥的文字,上面写着:

CONGRATULATION YOU OPENED ME --恭喜你打开了我

DO YOU WANNA PLAY A GAME --想玩个游戏吗

OKEY THEN LOOK BEHIND YOU --好吧,那回头看看

然后,屏幕切换到视频游戏《奶奶》的惊吓,发出非常响亮的尖叫声,然后是“游戏结束”的文字。然后,记事本图标会以故障方式抽搐,并且无法再次打开。

标记为“NOTHING”的文件在启动时显示 Jake Lava 的动画“The Sad Man”。与 DON'T OPEN ME.txt类似,动画完成后,图标会以故障方式抽搐,无法再次打开。

单击回收站仅会导致图标以类似于 DON'T OPEN ME.txt and NOTHING 的方式出现故障。

在使用过程中的某些时候,屏幕可能会变为《半条命 3》图像,其中包含 Gabe Newell 的 Trollface 版本,并伴有“Valve Theme”或其他尖叫声。此外,在显示几条错误消息后,读取“任务管理器已被管理员禁用”,该程序将在返回桌面之前发出“nope.avi”声音。

当用户单击“我的电脑”图标时,将出现一条消息,内容如下:

DO YOU SERIOUSLY WANT TRASH YOUR COMPUTER FOREVER?

选择“是”将导致“我的电脑”图标移动到回收站。然后,屏幕将变黑,并显示 Five Nights at Freddy's 3 中的幻影气球男孩跳跃恐慌,伴随着 Five Night's at Freddy's 的尖叫声。然后,将出现一个假的红色死机屏幕 (RSoD),并显示以下消息:

A problem has been detected and windows has been shut down to prevent damage

to your computer. --检测到问题,已关闭Windows以防止损坏到你的电脑。

The problem seems to be caused by the following file: 666.SYS --问题看来是由666.SYS文件引起的

PAGE_FAULT_IN_NONPAGED_AREA --页面故障_非页面区域

If this is the first time you've seen this stop error screen, --如果这是您第一次看到此停止错误屏幕,

restart your computer. If this screen appears again, follow these steps:

--重启电脑,如果这个屏幕再次出现,请按以下步骤操作

Check to make sure any new hardware or software is properly installed.

--检查以确保正确安装了任意新的硬件或软件

If this is a new installation, ask your hardware or software maufacturer

for any windows Updates you might need.

--如果这是新安装,请咨询您的硬件或软件制造商

If problems continue, disable or remove any newly installed hardware

or software. Disable BIOS memory options such as caching or shadowing.

--对于您可能需要的任何windows更新。如果问题仍然存在,请禁用或删除任何新安装的硬件或软件。禁用BIOS内存选项,如缓存或阴影。

If you need to use Safe Mode to remove or disable components, restart

your computer, press F6 to select Advanced Startup Options, and then

select Safe Mode.

--如果需要使用安全模式删除或禁用组件,请重新启动

在您的计算机上,按F6选择“高级启动选项”,然后

选择安全模式。

Technical information: --技术信息

***STOP 0x666666666 (0x6666666666,0x66666666,0x66666666,0x66666666)

此消息将以逐行方式重复多次。最后,计算机将显示真正的蓝屏死机(BSoD)并重新启动。重新启动后,程序的最终有效载荷会覆盖主启动记录 (MBR),并显示显示单色眼睛的图像以及以下消息:

I'M WATCHING YOU

Created by WobbyChip

恢复解决方案

该程序在启动时禁用任务管理器,因此无法使用此工具结束该过程。要修复被覆盖的 MBR,用户可以在安装媒体上使用 Windows 设置加载程序,通过修复您的计算机访问命令提示符,然后输入命令和 。或者,可以使用 NeoSmart 的 Easy Recovery Essentials 修复 MBR,这是一种旨在恢复无法正常工作的 Windows 计算机的恢复和诊断工具。bootrec /fixbootbootrec /fixmbr

关于无害版

该软件的和平版本与破坏性版本的不同之处在于,在 Phantom Balloon Boy 跳跃恐慌和伪造的 RSoD 之后,应用程序只是关闭而不是触发 BSoD 并覆盖 MBR