你可能听到过恶意软件，可是却很少听到过恶搞软件。对，就是那种贱贱的不勒索什么，但就是要把你的电脑搞残的那种无良软件。

【Cancer内置画面】图片来源：Bleeping Computer

最近，雷锋网(公众号：雷锋网)了解到，安全研究人员MalwareHunter就发现了一款新的恶意软件，最初，他还以为这就是款勒索软件，结果却是只乱来，不勒索的奇葩货。

这货名叫“Cancer”，跟它的远亲勒索软件不一样的是，它也不搞坏什么文件，但是就是会让你的电脑崩溃，比如，擅自做主给你播放一些烦死人的音乐，不让你用一些应用软件，把你的窗口和图片在屏幕上搬来搬去，冷不丁地让各种窗口冒出来……

呵呵哒，捣乱真的只服它。

其实，以前也出现过类似的恶搞软件，“前人”名为“CainXPiiCleaner”，由GData的恶意软件分析员Karsten Hahn在去年11月发现。

为了搞清这货的运行机制，MalwareHunter与外媒Bleeping Computer的首席恶意软件分析师Lawrence Abrams对Cancer的源代码进行了分析。

首先，运行Cancer会引发一个网络请求至这个URL(http://hostingonline.desi/register.php?ref=3625708941 )，即这款恶意软件作者的注册地址，这个连接目前显示错误，这通常由一个破碎的PHP脚本引起，所以目前并不知道这个服务器是否正在记录受害者信息。

然后，Cancer会寻找并关闭所有包含下列字符串的OS进程。

vmtools,cheatengine,debug,dumpcap,regshot,SandboxieRpcSs,SandboxieDcomLaunch,Sandboxie,OllyDbg,IDAq,monitor,debug,dbg,vmtool,vmware,malwarebytes,antivirus,malware,anti,secure,cheat,engine,immunity,shark,spy,hunter,av,qihoo,eset,nod,avast,f-secure,secur,protect,idaq,strike,falcon,avira,norton,quard,zone,alarm,kasp,avg,clam,panda,cloud,comodo,defend,root

在确定没有什么可以侦测或者阻止它时，Cancer就会开始在你的电脑散播“癌症”了，各种捣乱。

雷锋网觉得，也没啥合适的语言可以描述这种疯狂的行为，感觉视频演示才是王道：点此查看视频【视频来源：Bleeping Computer】

在这个视频里没有体现出来的是，Cancer会重命名你的C盘为 “CANCERRRRRRRRRRRRRRRRRRRRRRRRR” 。

对，就是这么有个性！

仔细查看一番，你会在源代码里发现作者的线索，就是下面的细节：

contact info:    base.Load = new EventHandler(this.Box_Load);        this.string_0 = "HELLO.\r\nI HAVE SOMETHING YOU MUST REMEMBER IF YOU WANT TO TALK...\r\n\r\nEmail:  arran.bishop89@aol.com\r\nSkype:  jquery.finland\r\nXMPP:  jqueryxmpp@exploit.im\r\nWebsite:  https://hack.chat?programming\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n";

目前，尚未有人能与Cancer的作者取得联系，问问他为啥弄出来这么个捣蛋鬼！

由于Cancer有持续性引导性，且在安全模式(Safe Mode)下依然可以自动启动，因此从已感染的主机中移除它还是很困难的。Bleeping Computer的研究人员目前正在写一个移除指导，帮助中招的人删掉这个垃圾。

最后，雷锋网编辑觉得，你应该可以从行文中感受到原作者的愤怒。