Código fuente de Android ctf
Este es un virus infeccioso escrito en MFC.
Después de ejecutar el virus, primero liberará el controlador de virus NetApi000.sys en el directorio raíz de la unidad c para restaurar SSDT y eliminar todos los ganchos colgados por el software antivirus. Luego libere los archivos de virus smss.exe, netcfg.000, netcfg.000 y lsass.exe en la carpeta com en la ruta System32.
El programa luego sale y ejecuta el recién lanzado lsass.exe.
Después de ejecutar lsass.exe, el archivo recién publicado se publicará nuevamente en la carpeta com, y se publicará un nuevo archivo de biblioteca dinámica dnsq.dll en la carpeta system32, y luego dos archivos con nombres aleatorios. se generará el archivo de registro. Estos archivos son copias de lsass.exe y dnsq.dll y luego realizarán las siguientes operaciones:
1. Descargue script/data.gif del siguiente sitio web y busque la ventana "MCI Program Com Application". Si la ventana no existe, ejecute el programa descargado.
9. Este virus se romperá en pedazos y se multiplicará rápidamente, bloqueando el disco para que no pueda ingresar, provocando que la computadora falle, aparezca una pantalla azul, se apague automáticamente y elimine los archivos de inicio. (Inicio 152H)
Edite este párrafo para una evaluación exhaustiva
Existen muchos tipos de virus y se actualizan y actualizan constantemente. Puede eludir la defensa activa, Hips, la tecnología Byshell, monitorear archivos y ventanas, destruir políticas de grupo/IFEO, infección de discos USB, procesar demonios, cerrar la mayoría de los programas antivirus y bloquear herramientas de seguridad comunes, infectar archivos ejecutables que no pertenecen al sistema y otros archivos. (incluido rar), desactive las actualizaciones automáticas para destruir el modo seguro, elimine la opción Mostrar archivos ocultos protegidos del sistema y abra automáticamente la unidad.
El virus de la "unidad de disco" ha causado recientemente un gran revuelo en Internet. Dado que el virus ha dañado gravemente los sistemas informáticos de muchas empresas y usuarios individuales, ha suscitado la condena unánime de los usuarios de ordenadores de todo el país. Cada vez más fabricantes de antivirus se han unido a las filas de las "unidades de disco" y han iniciado otra guerra antivirus.
La guerra del virus "Panda Burning Incense" del año pasado todavía está fresca en la mente de la gente, porque el virus generó muchas imágenes de pandas sosteniendo tres varitas de incienso en las computadoras, lo que alguna vez causó discusión y pánico entre los usuarios de computadoras en todo el país. . Sin embargo, el virus "Disk Drive" no parece ser tan popular como "Panda Burning Incense", pero muchos expertos antivirus coinciden en que el virus "Disk Drive" es diez veces más dañino que "Panda Burning Incense". ¿Por qué?
El experto en antivirus He Gongdao realizó recientemente un análisis comparativo de los virus "Disk Drive" y "Panda Burning Incense", del cual podemos ver por qué el virus "Disk Drive" se promociona como el "Rey". de Venenos".
Primero, las rutas de transmisión
El virus "Panda Burning Incense" tiene múltiples rutas de transmisión. Se propaga a través de unidades flash USB y archivos de páginas web infectados, se propaga a través de redes de área local, atraviesa algunos sitios web grandes y se propaga a través de páginas web normales. El virus de la "unidad de disco" utiliza el "virus ARP" para propagarse dentro de la red de área local. Al visitar una URL maliciosa, el virus descarga y ejecuta automáticamente más de 20 virus. A través del virus ARP, las "unidades de disco" pueden propagarse instantáneamente a través de computadoras en toda la red.
El "disco U" también se puede propagar a través de discos U y páginas web, pero actualmente no hay casos de autores de virus que se propaguen a través de sitios web a gran escala. Esta es la razón por la que la propagación actual del "disco U" es. No está tan extendido como "Panda Burning Incense" Large, pero si el autor del virus lo propaga en un área grande de esta manera, las consecuencias serán desastrosas.
En segundo lugar, la capacidad de contraatacar al software antivirus
Tanto el virus "Panda Burning Incense" como el "Disk Drive" tienen la capacidad de contraatacar al software antivirus, pero la diferencia es que "Panda Burning Incense" solo El software antivirus se apaga enviando un mensaje de apagado, mientras que la "unidad de disco" destruye la función de monitoreo del software antivirus generando un controlador con permisos del kernel, apagando así el antivirus. -software antivirus, impidiendo actualizaciones de software antivirus y bloqueando páginas web de software antivirus convencionales.
En este punto, "Disk Drive" ha superado con creces al virus "Panda Burning Incense", lo que provocó el cierre de algunos programas antivirus con débiles funciones de defensa activa. En la actualidad, la "unidad de disco" puede desactivar algunos programas antivirus convencionales. Es por eso que cuando muchas empresas encuentran virus en la "unidad de disco", casi ninguna computadora en toda la red de área local es inmune al virus.
En tercer lugar, capacidades de autoprotección y ocultación
"Panda Burning Incense" utiliza protección artesanal. El virus primero genera un programa de servicio del sistema para evitar que su proceso se cierre. Siempre que se borre el servicio del sistema generado por el virus, su proceso se puede cerrar fácilmente.
"Disk Drive" es casi omnipotente en tecnología de autoprotección y ocultación, y logra el propósito de autoprotección a través de más de diez tecnologías. Por ejemplo, si se descubre que un archivo de virus se ha eliminado o cerrado utilizando la tecnología de demonio de proceso, el archivo se generará y se volverá a ejecutar inmediatamente. Los programas antivirus se ejecutan con permisos a nivel del sistema y los componentes DLL se insertarán en casi todos los procesos del sistema para cargarlos y ejecutarlos (incluidos aquellos con permisos a nivel del sistema). Utilizando tecnología de reescritura al apagar, el cuerpo principal del programa del virus se guarda en la carpeta [inicio] cuando se apaga la computadora, logrando un inicio automático. Después de que se inicie el sistema, el tema del virus en la carpeta [Inicio] se eliminará, de modo que el inicio pueda ocultarse y los usuarios no lo descubran. Utilice tecnología anti-HIPS para evitar el seguimiento de algunos programas de defensa activos "HIPS". Utilice servidores de acceso de fibra óptica para actualizar rápidamente los cuerpos de virus y actualizarlos rápidamente para evitar la detección por parte del software antivirus.
Cuarto, variantes de virus y velocidad de actualización automática
Debido a que la tecnología de "Panda Burning Incense" es más simple que la de la "unidad de disco" y el código fuente puede filtrarse, no Hay muchas variantes del virus. Sin embargo, debido a que el programa de virus de "Disk Drive" es complejo y actualmente se confirma que su código fuente no se ha filtrado en línea, sólo aparecen dos o tres variantes por semana, alcanzando un ritmo de hasta dos variantes por día. Aunque es ligeramente inferior a "Panda Burning Incense" en términos de número de variantes, es "Panqi".
Los expertos en antivirus incluso sospechan que el virus de la "unidad de disco" utiliza un servidor de actualización con acceso de fibra óptica, que puede actualizar automáticamente el virus en un instante cuando el volumen de descarga es grande.
La destructividad de los virus verbales (abreviatura de verbo)
Lo destructivo es que tanto "Panda Burning Incense" como "Disk Drive" pueden infectar archivos ejecutables y archivos web en la computadora. , lo que hace que el sistema funcione lentamente. La diferencia es que la "unidad de disco" cifra y almacena los archivos infectados durante el proceso de infección, lo que dificulta la eliminación del virus. Ambos pueden vincularse a páginas web maliciosas para descargar virus troyanos, pero "Disk Drive" puede descargar muchos más virus troyanos que "Panda Burning Incense". "Disk Drive" puede descargar más de 20 virus troyanos, mientras que "Panda Burning Incense" sólo puede descargar. descargar Uno o varios troyanos.
Sin embargo, la "unidad de disco" provocó enormes accidentes catastróficos a los usuarios de la LAN empresarial con la ayuda del virus ARP. Debido a que la "unidad de disco" puede infectar instantáneamente todas las computadoras en la LAN con la ayuda de ARP, interrumpirá el trabajo de muchas unidades y causará pérdidas inconmensurables.
6. Manifestaciones de virus
En términos de manifestaciones, la actuación de "Panda Burning Incense" es muy obvia. Es muy fácil juzgar el modo de "Panda Burning Incense". es a través de la infección de archivos ejecutables Generado. Las infecciones por "unidades de disco" son muy discretas y encubiertas. Hizo todo lo posible para ocultar su paradero. En la superficie, a los usuarios comunes les resulta difícil detectar rastros de envenenamiento. Muchos usuarios no lo saben después de haber sido envenenados. Excepto por la sensación de que el sistema parece estar lento, no hay otros síntomas anormales obvios.
Es bajo este disfraz deliberadamente discreto que el virus "Disk Drive" aprovecha la oportunidad para robar información privada y sensible de los usuarios, incluidas contraseñas de cuentas de juegos, banca en línea, comercio de valores en línea y otras cuentas. Esto es peor que el virus "Panda". El descarado robo de "quemar incienso" es aún más aterrador.
Por lo tanto, se recomienda reinstalar el sistema o comprar un software antivirus avanzado para comprobarlo minuciosamente y eliminarlo. ¡Borre la unidad c y la unidad d!