轉(zhuǎn)帖]向這個(gè)愛國(guó)病毒的編寫者致以最高的敬禮

流浪者

[轉(zhuǎn)帖]向這個(gè)病毒的編寫者致以最高的敬禮！！！


近日，某公司全球反病毒監(jiān)測(cè)網(wǎng)在國(guó)內(nèi)率先截獲一個(gè)“沖擊波殺手”病毒的變種(W32.Welchia.B)

病毒。據(jù)該反病毒工程師介紹，該病毒是“沖擊波殺手”的變種，同時(shí)利用四個(gè)漏洞對(duì)WINDOWS 2000或者WINDOWS XP操作系統(tǒng)進(jìn)行攻擊。有趣的是，這個(gè)病毒只會(huì)攻擊日文系統(tǒng)，對(duì)中、英文系統(tǒng)不光不進(jìn)行惡意攻擊，還會(huì)幫助這些用戶下載微軟的補(bǔ)丁程序修補(bǔ)系統(tǒng)漏洞，堪稱是一個(gè)“愛國(guó)”病毒，或者是“仇日”病毒。病毒會(huì)判斷*作系統(tǒng)語(yǔ)種，如果當(dāng)前系統(tǒng)為日文，則從注冊(cè)表Virtual Roots及IIS Help folders中讀取路徑，并嘗試用病毒體內(nèi)帶的一個(gè)網(wǎng)頁(yè)文件替換此路徑下的文件。該文件顯示了幾個(gè)特殊日期，這些日期都是發(fā)動(dòng)侵略戰(zhàn)爭(zhēng)的標(biāo)志性日期，包括九一八事變紀(jì)念日、七七事變、南京大屠殺、珍珠港事變、兩顆原子彈的爆炸日期和投降紀(jì)念日。因?yàn)楹芏嘈⌒途W(wǎng)站都是利用WINDOWS 2000操作系統(tǒng)和IIS架設(shè)，如果有人訪問受病毒攻擊的網(wǎng)站，則會(huì)看到這些文件，受此病毒攻擊的日語(yǔ)網(wǎng)站相關(guān)網(wǎng)頁(yè)就會(huì)顯示如下內(nèi)容：
從病毒編寫手法和內(nèi)容來(lái)看，該病毒和當(dāng)初的“沖擊波殺手”病毒可能出自同一個(gè)人之手，而且極其可能是中國(guó)人。




如果操作系統(tǒng)是中文、韓文或者是英文，此病毒會(huì)試圖清除SCO炸彈和SCO炸彈變種病毒，消除病毒留下的后門，還會(huì)下載微軟補(bǔ)丁來(lái)彌補(bǔ)系統(tǒng)漏洞。該病毒利用DCOM RPC、WebDav vulnerability、Workstation Service vulnerability和Locator service vulnerability四個(gè)已知漏洞傳播

liko

樓上兄弟，裝什么比較好？~沒看懂，謝謝~

blaze

有意思，支持一下！

蟲二

我對(duì)這個(gè)病毒是怎么做到的這一切比較感興趣

這個(gè)病毒過時(shí)了吧 瑞星早就能識(shí)別沖擊波了
尤其是SP2補(bǔ)丁一打,沖擊波就沒用武之地了
呵呵 我就沒安裝殺毒軟件,有了病毒自己手動(dòng)查殺嘛 ,殺毒軟件太占資源,我機(jī)器內(nèi)存小,剛1G的75%,饒了我吧
判斷操作系統(tǒng)的語(yǔ)言方法頂多是讀取注冊(cè)表中的版本號(hào)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Language] 分支，在右側(cè)窗口中找到字符串值“Default”和“InstallLanguage”
鍵值是判斷語(yǔ)言的 中文簡(jiǎn)體是0804,英文是0409
小日本子的狗語(yǔ)我不知道是哪四位數(shù)字
還請(qǐng)高人指點(diǎn)一下哦
(順便對(duì)剛才粗心少打了一個(gè)"]"和一個(gè)錯(cuò)字,以致造成樓下的quote格式難看表示歉意!!!)

[ 本帖最后由 蟲二 于 2006-2-20 12:54 編輯 ]

流浪者

原帖由 蟲二 于 2006-2-20 12:40 發(fā)表
我對(duì)這個(gè)病毒是怎么做到的這一切比較感興趣
[quote]判斷操作系統(tǒng)的語(yǔ)言方法頂多是讀取注冊(cè)表中的版本號(hào)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\Language ]分支，在右側(cè)窗口 ...

我是轉(zhuǎn)貼.....至于怎么實(shí)現(xiàn),自己找資料吧.........本人對(duì)這方面是不知啊.....見諒啊!