熊猫烧香之后有仇英 病毒源代码很简单

　　“熊猫烧香”之后又出现“仇英”，从功能表现上判断，后者在诸多方面完全模仿前者。该病毒采用DLL插进程技术隐藏自身，并采用保护机制对抗清除；运行后会感染所有可执行PE文件和所有网页文件，可能造成中毒机器蓝屏、运行缓慢等现象；病毒会自动在企业局域网中传播，传播速度很快。记得2006年11月当一只“熊猫”手捧着三枝香走进了众多网民的计算机开始，一时间可爱“熊猫”成了网民闻风色变的病毒后，与此同时一些厂商大喊“狼来了”！然而事实真的某些厂商所说的那样嘛？让人闻之色变的狼，真来了吗？根据业内一位信息安全专家分析，“熊猫烧香”从技术上来说它并没有什么创新之处，核心代码来自于一个老病毒“Japussy”。笔者从网络上下载了一份“Japussy”源代码，发现正如圈内人所说的那样，二者有着惊人的相似，感染PE文件；获得可写的驱动器列表；遍历目录感染和摧毁文件，感染HTML和ASP文件，将Base64编码后的病毒写入，感染浏览此网页的所有用户；遍历磁盘上所有的文件；添加注册表启动项等都如出一辙。有兴趣的读者可以用搜索引擎查找“Japussy病毒”的源码查看。就是这样的一个“熊猫烧香”通过“Japussy”为核心代码，再借鉴其他经典病毒，木马甚至是流氓软件的技术优点，综合成了一个拥有“熊猫”图标却让人闻之色变的病毒。它的运行原理并不复杂，无非是“复制文件到系统目录和根目录”，“注册为服务进程”，“利用微软自动播放功能运行”，“针对计算机本身攻击弱口令”，“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不算“最新先进”的技术。知情人还告诉笔者，“熊猫烧香”本身只是一个病毒载体，也就是黑客常说的下载者。所谓的下载者，就是黑客通常用它来作为木马病毒的宿主，一个下载者的服务端小到只有几KB，下载者被运行后，会从网上下载指定的可执行文件并会释放其中的木马病毒载体。这样可以提高木马病毒的隐藏性。据笔者对黑客技术的一些了解，下载者本身是为了隐藏并释放病毒载体，而不是这样弄成一个这样一个类似joke病毒。弄得满盘皆是“香火一片”。“熊猫烧香”和“仇英”真的是像业界所宣称的狼嘛？未必！