熊猫烧香之后有仇英 病毒源代码很简单
日期:2006-11-13 荐:
“熊猫烧香”之后又出现“仇英”,从功能表现上判断,后者在诸多方面完全模仿前者。该病毒采用DLL插进程技术隐藏自身,并采用保护机制对抗清除;运行后会感染所有可执行PE文件和所有网页文件,可能造成中毒机器蓝屏、运行缓慢等现象;病毒会自动在企业局域网中传播,传播速度很快。记得2006年11月当一只“熊猫”手捧着三枝香走进了众多网民的计算机开始,一时间可爱“熊猫”成了网民闻风色变的病毒后,与此同时一些厂商大喊“狼来了”!然而事实真的某些厂商所说的那样嘛?让人闻之色变的狼,真来了吗?根据业内一位信息安全专家分析,“熊猫烧香”从技术上来说它并没有什么创新之处,核心代码来自于一个老病毒“Japussy”。笔者从网络上下载了一份“Japussy”源代码,发现正如圈内人所说的那样,二者有着惊人的相似,感染PE文件;获得可写的驱动器列表;遍历目录感染和摧毁文件,感染HTML和ASP文件,将Base64编码后的病毒写入,感染浏览此网页的所有用户;遍历磁盘上所有的文件;添加注册表启动项等都如出一辙。有兴趣的读者可以用搜索引擎查找“Japussy病毒”的源码查看。就是这样的一个“熊猫烧香”通过“Japussy”为核心代码,再借鉴其他经典病毒,木马甚至是流氓软件的技术优点,综合成了一个拥有“熊猫”图标却让人闻之色变的病毒。它的运行原理并不复杂,无非是“复制文件到系统目录和根目录”,“注册为服务进程”,“利用微软自动播放功能运行”,“针对计算机本身攻击弱口令”,“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不算“最新先进”的技术。知情人还告诉笔者,“熊猫烧香”本身只是一个病毒载体,也就是黑客常说的下载者。所谓的下载者,就是黑客通常用它来作为木马病毒的宿主,一个下载者的服务端小到只有几KB,下载者被运行后,会从网上下载指定的可执行文件并会释放其中的木马病毒载体。这样可以提高木马病毒的隐藏性。据笔者对黑客技术的一些了解,下载者本身是为了隐藏并释放病毒载体,而不是这样弄成一个这样一个类似joke病毒。弄得满盘皆是“香火一片”。“熊猫烧香”和“仇英”真的是像业界所宣称的狼嘛?未必!
标签: