实系统中,开始分析了起来。
大概浏览一遍记录,刘啸就清楚了这个病毒的威力,也不算是很厉害,只是针对软件和数据来进行破坏,对硬件并无什么危害。首先就是病毒会修改系统文件关联,保证自己时刻运行,还有就是会生成一大堆守护进程,让你无法终止病毒的运行,最大的破坏力,就是这个病毒会和系统中所有的可执行程序捆绑合并,也就是说,系统中有多少个可执行程序,就会有多少个病毒,加大了用户清除病毒的难度。
不过,这样的病毒也不在少数,不稀奇,刘啸再把病毒运行的记录分析了一遍,没有找到什么新的发现,病毒没有任何后门,也没有什么传播方式,看来这只是一个病毒的雏形样本,除非是有人故意把它种到你的机器上,否则是没有任何威力可言的。
刘啸从虚拟系统中拽出一个被病毒捆绑合并了的文件,然后将这个文件反编译。把反编译过来的代码看了看,刘啸就有些纳闷,这个病毒的代码很好区分啊,就好比是水和油,用户自己的程序是水,病毒是油,把油倒进了水里,便会上下分明;又好比是红蓝铅笔,用户的程序是红的,病毒是蓝的,虽然两者合成了一根铅笔,但肉眼一看就能分出来。
在这么明显的情况下,要把病毒剔除掉,是很容易办到的啊。论坛上向刘啸求助的那人也是一个反病毒的高手,怎么会这么简单的病毒都弄不清楚,刘啸确实有些想不通。
“难道是病毒加密了?”刘啸赶紧去看自己的反编译工具,这个工具是他自己做的,会自动解密脱壳。
一看之下,刘啸就惊讶无比,这个病毒的加密方法,竟然是wufeifan当年那个木马的加密方法,刘啸再去打开吴越霸王的木马,发现木马也是加密的,都是同样一种加密方法。只是刘啸的工具把解密工作自动完成了,所以刘啸之前也没注意到这个问题。
“不会吧,难道这个病毒也是wufeifan的作品?”刘啸赶紧在病毒的代码里寻找“wufeifan”字样。
果然,工具弹出提示,“已找到!”,然后自动定位到了发现wufeifan的位置。
PS:
文件关联:举个简单的例子,很多人都喜欢看电影,可能大家也注意到了,电影的格式有很多种,RM格式的电影要用RealonePlay播放器来观看,WMA格式的则要用MediaPlay来观看。如果你的机器上安装了播放器,当你点击某种格式的电影时,你发现系统会自动启动了与之匹配的播放器,这就是文件关联,它的作用就是把文件和打开文件的程序关联在一起。如果文件和病毒程序关联在了一起,那么,你运行文件的同时,也就运行了病毒。
大家可能也发现了,机器中毒后,明明用杀毒软件清除掉了病毒,却有好多程序、文件都无法打开了,这是因为病毒虽然清除了,但被病毒修改过文件关联并没有恢复,此时只要把打不开的文件和他对应的打开程序重新设定文件关联,就能打开。