马修改了一下,将反向链接的地址改成了今天捕获的这个新域名,结果发现也是链接不上,域名转向的ip地址不在线,刘啸兴奋的劲头立刻少了一大半。这个ip也是来自三羊市的,看来是和吴越霸王有点关系,此刻不在线,是这家伙也跟着逃逸了呢,还是只是暂时不在线? 刘啸等了一会,那木马还是链接不上,刘啸只好放弃等待,到防病毒论坛看了看,没有新的木马被放出来,刘啸再往下翻了翻,就看到那个让自己帮忙分析病毒样本的帖子。 “日啊,我怎么把这事给忘了!”刘啸拍着自己的脑门,别人都为自己的事忙乎了几天,自己却把别人的事给忘得一干二净,刘啸真是觉得有点对不住别人。 赶紧把上次下载的病毒样本翻了出来,刘啸把它放到虚拟系统中运行,把病毒的运行后的所有动作做了记录,然后把记录发到自己的真实系统中,开始分析了起来。 大概浏览一遍记录,刘啸就清楚了这个病毒的威力,也不算是很厉害,只是针对软件和数据来进行破坏,对硬件并无什么危害。首先就是病毒会修改系统文件关联,保证自己时刻运行,还有就是会生成一大堆守护进程,让你无法终止病毒的运行,最大的破坏力,就是这个病毒会和系统中所有的可执行程序捆绑合并,也就是说,系统中有多少个可执行程序,就会有多少个病毒,加大了用户清除病毒的难度。 不过,这样的病毒也不在少数,不稀奇,刘啸再把病毒运行的记录分析了一遍,没有找到什么新的发现,病毒没有任何后门,也没有什么传播方式,看来这只是一个病毒的雏形样本,除非是有人故意把它种到你的机器上,否则是没有任何威力可言的。 刘啸从虚拟系统中拽出一个被病毒捆绑合并了的文件,然后将这个文件反编译。把反编译过来的代码看了看,刘啸就有些纳闷,这个病毒的代码很好区分啊,就好比是水和油,用户自己的程序是水,病毒是油,把油倒进了水里,便会上下分明;又好比是红蓝铅笔,用户的程序是红的,病毒是蓝的,虽然两者合成了一根铅笔,但肉眼一看就能分出来。 在这么明显的情况下,要把病毒剔除掉,是很容易办到的啊。论坛上向刘啸求助的那人也是一个反病毒的高手,怎么会这么简单的病毒都弄不清楚,刘啸确实有些想不通。 “难道是病毒加密了?”刘啸赶紧去看自己的反编译工具,这个工具是他自己做的,会自动解密脱壳。 一看之下,刘啸就惊讶无比,这个病毒的加密方法,竟然是wufeifan当年那个木马的加密方法,刘啸再去打开吴越霸王的木马,发现木马也是加密的,都是同样一种加密方法。只是刘啸的工具把解密工作自动完成了,所以刘啸之前也没注意到这个问题。 “不会吧,难道这个病毒也是wufeifan的作品?”刘啸赶紧在病毒的代码里寻找“wufeifan”字样。 果然,工具弹出提示,“已找到!”,然后自动定位到了发现wufeifan的位置。 ps: 文件关联:举个简单的例子,很多人都喜欢看电影,可能大家也注意到了,电影的格式有很多种,rm格式的电影要用realoneplay播放器来观看,wma格式的则要用mediaplay来观看。如果你的机器上安装了播放器,当你点击某种格式的电影时,你发现系统会自动启动了与之匹配的播放器,这就是文件关联,它的作用就是把文件和打开文件的程序关联在一起。如果文件和病毒程序关联在了一起,那么,你运行文件的同时,也就运行了病毒。 大家可能也发现了,机器中毒后,明明用杀毒软件清除掉了病毒,却有好多程序、文件都无法打开了,这是因为病毒虽然清除了,但被病毒修改过文件关联并没有恢复,此时只要把打不开的文件和他对应的打开程序重新设定文件关联,就能打开。m.XiapE.coM