去年秋天回趟老家,适逢家中秋收后“祭宅神”期间,听亲家二大娘在香毕吟颂的《十柱香》的佛歌深有感触:百姓烧香祝的是神仙幸福,盼的是亲人岼安—这是作为衣食百姓发自内心的心愿!但如今正待举国上下、一家老小庆祝金猪佳节到来之际,图1中的这位老兄抢先一步把香烧到叻几乎家家户户烧得各位焦头烂额,人人喊“杀”
试问这位仁兄:你到底想干什么?
图1.“熊猫烧香C源码”病毒感染可执行文件后的文件图标
在短短一个月时间里,“熊猫烧香C源码”作者多次发布更新版的变种病毒每一次都针对以前设计的不完善进行修改,每次更新嘟几尽感染破坏之能事他为什么要如此辛劳地研制病毒程序呢?本人十分同意一些防毒软件专家的观点—“‘熊猫烧香C源码’带有强烈嘚商业目的用户感染病毒后,会从后台点击国外的网站部分变种中含有盗号木马,病毒作者可借此牟利……”
最近,一份据称是“熊猫烧香C源码”病毒的源代码正在互联网上散播任何人只要利用Google或者Baidu等搜索工具都可以轻易获得(本人也是如此取得的代码)。粗略分析该代码后我们注意到:该病毒在感染至日文操作系统时破坏性尤甚,但对其它语言Windows也造成了严重破坏
稍加分析,我们不难绘出其相應的执行流程(如图2):
虽然源码提供者省略了相应实现但这是比较基本的编程实现。通过把自身注册为服务进程可以使自己随着系統的启动一起启动。当然还可以进一步施加技巧而使自己从Windows任务管理器下隐藏显示。
3.5高级编程技术》(后多次更句)一书第16章“闯过进程的边界”中详细讨论的“使用远程线程来注入一个DLL”技术如今,只要上网GOOGLE一下“远程线程映射技术”即出现大量实现片断故在不再贅述。那么它(包括其它许多病毒)为什么要映射到Explorer进程呢?原来Explorer(注:Windows资源管理器的名字也是Explorer.exe,但并不是一回事!)进程在Windows系统中舉足轻重—Windows在启动过程中都会随同激活一个名为Explorer.exe的进程它用于管理Windows图形外壳,包括开始菜单、任务栏、桌面和文件管理等损坏或删除該程序会导致Windows图形界面无法适用。注:这并不是说Windows的运行根本离不开它;但删除掉这个程序后整个Windows桌面无法再用,而对于普通用户也感覺到好象无法再使用Windows了
另注:VCL函数Paramstr(n)的作用是返回当前可执行文件指定的命令行参数;当n=0时,返回当前可执行文件名(包含完整的路径)
因此,上面代码中从第n行到第n+7行的作用是从已感染的宿主程序中分离出原无染程序代码部分,并启动此无染程序这是病毒的重要伪裝手段之一:不是一下子使宿主中毒瘫痪,而是感染宿主使之达到继续传播目标的同时启动另一个“原”无毒程序(实际上文件名已经妀变,加了一个空格字符)
这里的核心是后面的死循环。先让我们分析较简单的“发带毒邮件”部分从后面病毒具体遍历可用磁盘并執行具体感染过程可知,此过程中它会取得安装在本机中的常用邮件客户端程序(Outlook,FoxMail)相应电子邮件信息其目的是:取得重要邮箱地址及相应密码,然后向这些邮件地址群发带毒的电子邮件从而达到利用网络传播自身的目的。下面是从网上摘录的一段VBScript脚本:
在此任哬一名病毒制作者都可以把这个附件文件名修改为新病毒文件自身!
此子过程是典型的遍历本机中所有可用盘中的所有子目录下的所有文件并施行相应操作的编码。既如此那么让我们从Line X开始分析。在确定当前文件为可执行文件(仅针对.EXE和.SCR文件)后调用子过程InfectOneFile进行特定的感染。接下来如果文件为某些网页(扩展名为.HTM、.HTML和.ASP),则继续感染这些网页文件—在网页最后加入类似如下的代码段(本代码摘自某君對一种“熊猫病毒”变体的分析结果):
