FANDOM



MEMZ是一种存在于微软Windows操作系统中的自制木马病毒,原本是为了Danooct1的“观赏性恶意软件”视频系列和嘲讽那些“玩具病毒”而制作。因其高度复杂和独特的感染特征(大多与网络相关)备受关注和责骂。普遍认为是一款恶作剧病毒。

描述编辑

MEMZ是一种能运行于微软Windows操作系统的木马。它最初诞生是源于Danooct1的“观赏性恶意软件”系列。该木马拥有好几个感染阶段,并且全部阶段都由其他阶段自动触发,某些会延迟执行。 它能以.exe文件方式和批处理文件去运行。其中批处理版本的运行方式类似于压缩文件的自解压,然后运行解压出来的.exe文件。

感染行为编辑

在新版MEMZ中,它会给予用户一个警告信息:不要在物理机上运行因为它会对其造成破坏,建议在虚拟机上运行。

如果用户对两个警告信息都点了确定,MEMZ将开始执行。当MEMZ开始执行,它会生成并弹出一个被命名为note的txt后缀文件,告知用户一旦电脑重启后将不能使用:

YOUR COMPUTER HAS BEEN FUCKED BY THE MEMZ TROJAN.


Your computer won't boot up again,
so use it as long as you can!

:D
                      
  Trying to kill MEMZ will cause your system to be
  destroyed instantly, so don't try it :D

中文译文:
你的电脑已经被MEMZ病毒干掉了。
你的电脑将不能引导成功。
所以珍惜现在能使用的时间吧!
(笑脸
尝试去中止或结束掉MEMZ将会导致你的系统被瞬间破坏,
所以不要去尝试 (笑脸

与此同时,计算机的MBR分区会被MEMZ重写覆盖。

Run MEMZ Trojan on Mac OS X

Run MEMZ Trojan on Mac OS X

经过WineBottler转换后的MEMZ病毒在Mac OS X 10.8 Mountain Lion系统下运行。如视频中所出现的画面,只有对话框和MBR破坏的病毒行为可以正常运行。

这些病毒特征能在Windows XP系统以上版本正常运行,但不能在Windows 9x系列的全部版本、Windows 98及以下版本系统正常执行。但是,下面列举的病毒特征中的最后一条在所有版本的Windows中都能成功运行。在Mac OS X操作系统下,通过WineBottler将其从.exe转换为.app也可使其能被执行,尽管只有弹出对话框和重写MBR分区的病毒特性能正常运作。

通过任务管理器来结束掉MEMZ或者关机都会导致系统崩溃,如上详述。当你看到这个消息并且你的电脑运行在传统BIOS模式下,你的操作系统已经被一个“Nyan Cat”(彩虹猫)动画所替代,即以一个自定义的引导方式去启动,并且你的分区表将很有可能被破坏。如果使用的是GPT分区,那么“Nyan Cat”将不会在启动电脑的时候出现,但电脑会在引导时启动失败因为Windows Boot Manager已经损坏了。

第一感染阶段会随机打开网页,包括通过Google.co.ck(.ck是库克兰岛国家的顶级域名代码)网站进行搜索:

  • Google.co.ck 网站搜索...
    • best way to kill yourself(自杀的最佳方式)
    • how 2 remove a virus(如何除掉病毒)
    • mcaffee vs Norton(麦咖啡VS诺顿)
    • how to send a virus to my friend(如何向我的朋友发送一个病毒)
    • minecraft hax download no virus(我的世界下载无毒版)
    • how to get money(如何获取金钱)
    • bonzi buddy download free(bonze buddy免费下载)
    • how 2 buy weed(如何买大麻)
    • how 2 get weed out of ur system(用你的系统获取大麻)
    • how to code a virus in visual basic(如何使用VB编写一个病毒)
    • what happens if you delete system32(删掉system32后会发生什么)
    • g3t r3kt(被吊打)
    • batch virus download(批处理病毒下载)
    • virus.exe
    • internet explorer is the best browser(IE是最好的浏览器)
    • facebook hacking tool free download no virus working 2016(2016年FB黑客工具免费下载无毒)
    • virus builder legit free download(病毒制作工具合法免费下载)
    • how to create your own ransomware(如何制作你自己的勒索病毒)
    • how to remove memz trojan virus(如何除掉MEMZ病毒)
    • my computer is doing weird things wtf is happenin plz halp(我的电脑在做奇怪的事情,怎么回事,求救)
    • dank memz(阴暗的MEMZ)
    • how to download memz(如何下载MEMZ)
    • half life 3 release date(《半条命3》发布日期)
    • is illuminati real(“光照派”真的存在吗)
    • montage parody making program 2016(2016年蒙太奇的戏仿制作程序)
    • the memz are real(MEMZ是真的)
    • stanky danky maymays
    • john cena midi legit not converted
    • vinesauce meme collection
    • skrillex scay onster an nice sprites midi
  • answers.microsoft.com/en-us/protect/forum/protect_other-protect_scanning/memz-malwarevirus-trojan-completely-destroying/268bc1c2-39f4-42f8-90c2-597a673b6b45
  • motherboard.vice.com/read/watch-this-malware-turn-a-computer-into-a-digital-hellscape
  • play.clubpenguin.com (redirects to www.clubpenguinisland.com/download/)
  • pcoptimizerpro.com
  • softonic.com

它也可能会打开以下其中Windows应用程序之一:

  • calc.exe (计算器)
  • notepad.exe (记事本)
  • cmd.exe (命令行)
  • write.exe (写字板)
  • regedit.exe (注册表)
  • explorer.exe (资源管理器)
  • taskmgr.exe (任务管理器)
  • msconfig.exe (系统配置)
  • mspaint.exe (画图)
  • devmgmt.msc (设备管理器)
  • control.exe (控制面板)
  • mmc.exe (控制台)
Error lol

写着“仍要使用该计算机吗?”的错误消息提示框

过一阵子后,该木马开始轻微地移动鼠标,还有戏弄用户的消息窗也会弹出,随着时间的推移以上行为会变得更暴力、更快。再过一小会,错误图标会在屏幕内和你的鼠标位置遍布,播放很多错误提示声音,并且最后会对你的桌面进行截屏,然后放在每一个的顶层上面,每次都会越来越小(被称为“隧道”特效)。之后会变得越来越快。

如果尝试结束掉MEMZ进程会导致下述提及的行为出现,弹出无数个包含“火星文”的消息对话框,然后计算机会进入错误代码为0xC0000022蓝屏死机的状态。

Rip pc

展示了当MEMZ.exe被关掉后出现的其中一部分错误消息

以下列举的是会出现的消息:

  • YOU KILLED MY TROJAN! Now you are going to die.(你将和我的病毒同归于尽)
  • REST IN PISS, FOREVER MISS(在尿中休息,永远想念)
  • I WARNED YOU...(我警告过你了。。。)
  • HAHA N00B L2P G3T R3KT(哈哈笨蛋彩笔被吊打吧)
  • You failed at your 1337 h4x0r skillz(你败在你的作弊手段下)
  • YOU TRIED SO HARD AND GOT SO FAR, BUT IN THE END, YOUR PC WAS STILL FUCKED!(你那么努力、那么坚持,但到最后,你的电脑依然被破坏掉!)
  • HACKER! ENJOY BAN!(黑客们!享受禁令带来的欢乐吧!)
  • GET BETTER HAX NEXT TIME xD(希望你下次不要这么做 (奸笑 )
  • HAVE FUN TRYING TO RESTORE YOUR DATA :D(享受恢复数据的乐趣吧! (笑脸 )
  • |\\/|3|\\/|2
  • BSOD INCOMING(蓝屏死机即将到来)
  • VIRUS PRANK (GONE WRONG)(病毒恶作剧)
  • ENJOY THE NYAN CAT(享受彩虹猫)
  • Get dank antivirus m9!(你得到了一个阴暗的病毒 (嘲笑 )
  • You are an idiot! HA HA HA HA HA HA HA(你是只蠢蛋!)
  • #MakeMalwareGreatAgain(再次制作高尚的病毒)
  • SOMEBODY ONCE TOLD ME THE MEMZ ARE GONNA ROLL ME(某人告诉过我MEMZ要干我)
  • Why did you even tried to kill MEMZ? Your PC is fucked anyway.(为啥你要尝试杀掉MEMZ?你的电脑无论如何都要崩掉了。)
  • SecureBoot sucks.(安全引导被玩坏了)
  • gr8 m8 i r8 8/8(说某物或某人蹩脚的意思)
  • Have you tried turning it off and on again?(你试过关机然后再开机了吗?)
  • <Insert Joel quote here>(在这个插入Joel(圣经人物)的引述)
  • Greetings to all GAiA members!(问候所有的GAIA成员)
  • Well, hello there. I don't believe we've been properly introduced. I'm Bonzi!(你们好,我相信我还未好好的介绍我自己,我叫邦齐!)
    • 'This is everything I want in my computer' ®C danooct1 2016 (not included in original version)(这是我一直想发生在我自己电脑的事情——danooct1 2016年(原始版本没有))
    • 'Uh, Club Penguin. Time to get banned!' ®C danooct1 2016 (not included in original version)(嗯,企鹅俱乐部。是时候被封禁了!——danooct1 2016年(原始版本没有))

重启电脑将会展示病毒的最后阶段的感染特性,这依赖于早前已被重写过的首要硬盘驱动器MBR分区(该特性同样在Windows 2000/ME系列及以下的操作系统生效,但对GPT分区不起作用)。此时,不会再引导进之前的操作系统,而是以打字机的效果显示以下消息:

Your computer has been trashed by the MEMZ Trojan. Now enjoy the Nyan Cat...
中文译文:
你的电脑已经被MEMZ病毒废了。现在一起来欣赏彩虹猫吧...

接下来会展示一段彩虹猫的动画,并配合电脑蜂鸣器来产生一段熟悉的声乐。

Ezgif.com-video-to-gif (3)

自制的彩虹猫MBR分区

最后的感染阶段并不会总是生效,电脑有可能跟往常一样正常引导启动。如果电脑是以UEFI BIOS的方式去运行的,那么启动时并不会伴随彩虹猫的出现,但是分区表依然会被破坏、Windows Boot Manager也会变得不正常。

感染行为列表编辑

MEMZtrojanwin
根据Leurak所描述
  • 随机打开(搜索)网页、应用程序
  • 鼠标指针的移动
  • 随机键盘输入
  • 错误的提示声效(依据操作系统而改变)
  • 颜色反转
  • 弹出消息框
  • 绘制错误图标
  • 大部分的文字会被反转(在Windows XP下开始按钮的文字也会被反转)
  • 对整个屏幕进行截屏(“隧道效果”)
  • 出现屏幕失灵的现象
  • MBR分区被重写。分区表也可能被破坏

其他感染阶段(后面版本才增加的)

  • 随机的芯片音乐

名字编辑

MEMZ木马是单词"Memes"的误拼。这就是该病毒的大多感染行为都包含“火星文”和随机网站搜索,彩虹猫,以及引用Materialisimo的名为“MLG Antivirus”的视频的原因。该木马的制作者Leurak制作了一些恶作剧程式,比如“光照派”(Illuminati Joke Program)恶作剧程式还有“地震”恶作剧程式(Earthquake joke program)。Leurak's Channel

MEMZ 4

MEMZ 4.0 - The clean version (including download)

该视频展示了MEMZ纯净版

Viewer-Made Malware 8 - MEMZ (Win32) (flashing lights warning)

Viewer-Made Malware 8 - MEMZ (Win32) (flashing lights warning)

Danooct1对MEMZ进行介绍的视频

纯净版本编辑

MEMZ 4.0纯净版是该木马的一个测试发布版,它允许用户重现该病毒原有病毒行为的声音、视觉现象。但该版本不包含MBR重写功能,因此即使你使用过也不会影响计算机的正常重启行为。该程式启动后会弹出一个带有按钮的窗口,允许用户去开/关指定病毒行为。

该病毒作者Leurak建议在使用带有真正意义破坏性的MEMZ程式之前先使用该纯净版去进行测试。

VineMEMZ 编辑

VineMEMZ是MEMZ的变种,是Vinesauce Joel的毁灭Windows 10视频中特色部分。它被修改为仅带有Vinesauce特色的病毒程式,就像BonziBUDDY和来自于CursorMania的“超级火焰死亡剑”。

该程式启动之后,它会启动一个写有以下内容的记事本:

Thanks Joel for showing off my trojan on stream!
Please wait some time until the last payload activates, which is a very special one.
中文译文:
感谢Joel在视频上展示了我的木马程式!
请稍等片刻,待最后一个感染行为出现,它与原版的行为与众不同。
Protection

VineMEMZ里面出现的画着Peter Norton的图片

Hqdefault-0

画着John Cena的图片

感染行为编辑

  • 桌面背景切换为一张被人为修改过的画着Peter Norton的照片
  • 播放Skrillex创作的“Scary Monsters and Nice Sprites”MIDI数字乐器版本
  • 在桌面出现一棵动态的圣诞树
  • 随机的打开网站和搜索网站,比如“snow halation midi”
  • 鼠标开始摇晃
  • 以重叠波浪形式在桌面出现和移动John Cena的图片
  • 如同原版MEMZ病毒一样在后台播放随机音乐
  • 播放Softonic软件下载网站的教程式介绍语音
  • 再过一阵子,最后的感染行为出现——explorer.exe进程被结束掉,屏幕变黑,然后会弹出几个消息窗口,带有结束按钮的仿制BonziBUDDY的程式会出现。结束掉这个程序会导致电脑崩溃。
  • MBR被病毒重写,以Joel曾经玩过的非法售卖的“7 GRAND DAD”马里奥游戏经修改为引导过程时出现的标题画面。该画面里面酷似Mario的人被一只菲力猫撕破脸皮,其源自于Joel在另外一个视频玩过的Sega Genesis门下的一个未经授权的Felix the Cat版本。文字“PUSH THE START BUTTON”(点击开始游戏按钮)被“Thanks Joel for your awesome Streams!”(致谢Joel精彩的视频!)所替代。
VineMEMZ (Win32)

VineMEMZ (Win32)

Dannooct1对VineMEMZ进行介绍的视频

知名度编辑

自从Danooct1对上述VineMEMZ木马发表了个人评论之后,因其原创性获得了某种程度的认可。来自于Vinesauce社区的Joel在他的“毁灭Windows 10”直播视频中的最后部分展示了该木马。Joel也感谢Danooct1为其提供该木马的样本。
-Vinesauce- Joel - Windows 10 Destruction

-Vinesauce- Joel - Windows 10 Destruction

Vinesauce Joel的 毁灭Windows 10

一部分调皮的人还让IT技术人员帮其移除虚拟机上的MEMZ病毒。

清除方法编辑

Capture-0

设置重新安装Windows

具有破坏性的MEMZ病毒会破坏掉硬盘上的前64KB大小的数据。这会影响到MBR还有分区表。但可以通过可引导式的恢复介质,比如系统还原、MBR恢复工具、Windows安装/重装光盘或者基于Linux的live media(一种光盘上的可运行出系统的激光光碟),它是可以恢复掉被破坏的数据的。

MEMZ 4

MEMZ 4.0 - Removal Video

清除MEMZ并进行引导修复的方法

MEMZ病毒同样是可以在Windows里面通过taskkill /f /im MEMZ.exe命令被清除掉。该命令会结束掉MEMZ的所有进程并且不会导致系统的崩溃。然而,硬盘的MBR分区依旧会被破坏掉,导致彩虹猫会在重新启动系统后被加载出来,因此还需要用户用那些特殊的修复命令去对MBR分区进行修复。

MEMZ Trojan on an EFI system (+ repair)

MEMZ Trojan on an EFI system (+ repair)

在以EFI方式进行引导的系统中运行MEMZ(附带修复启动引导的方法)

其他资料编辑

  • MEMZ与大多数人所想象中的病毒不一样,该病毒并不会对系统有很大的损害,也不会对计算机造成致命的破坏。对计算机恢复模式有一定常识的用户在几分钟内就可对被破坏掉的MBR分区进行修复处理。
  • 严格上来说,MEMZ只会在Windows XP或更高版本的系统上生效,但有趣的是它也可运行在ReactOS上,但是其运行会变得非常得不稳定,并且只有“结束进程”该感染行为可正常执行。纯净版的MEMZ可在WINE环境下的Linux运行,但是视觉性的感染行为只能在某些Linux桌面/窗口管理器生效。MEMZ同样能在Windows 95或更高版本(Windows 95,NT 4.0,98,2000和ME)上运行,但是对MBR分区进行破坏的感染行为只会在9x内核(Windows 95,98和ME)上出现。
  • MEMZ病毒的源代码可在GitHub找到。
  • 目前尚未知MEMZ或该病毒的变种是否已被某些人恶意投放到外面;微软自家的技术支持平台有好几个提问与MEMZ相关,这些问题来自于那些粗心或无知的在未阅读警告信息就直接运行病毒的用户。但是直到2017年为止,没有关于以传统的手段对MEMZ木马进行传播的实证。为了防止那些带有恶意的人故意传播该病毒,当前只有MEMZ 4.0版本(该版本带有免责声明,包含没有破坏性的版本和具有破坏性的版本)或更高版提供下载。