CVC电脑病毒论坛 - 在病毒源码及样本交流内发帖

主题标题：中国黑客源代码 [简洁模式]

用户名 　您没有注册？

密　码 　忘记密码？

当前心情
将放在帖子的前面

上传附件或图片 (最大容量 500KB) 　　
内容　
在此论坛中：
HTML 　标签: 不可用
LB5000 标签: 可用
贴图标签　: 允许
Flash 标签 : 禁止
音乐标签　: 禁止
文字大小　: 允许
积分标签　: 允许
保密标签　: 允许
允许使用表情字符转换
　字体：　字号：　颜色：　　　　　　
　
　高级编辑器：『 LB5000 HTML 编辑器』　『 ASCII字形生成器』　『替换文本』
[quote][b]下面引用由[u]jeasonzhao[/u]在 [i]2003/08/06 12:59pm[/i] 发表的内容：[/b] 不用吧，阿拉这么惨 [/quote]
　模式:　帮助　　完全　　基本　　　　 >> 复制到剪贴板 | 查看文章长度 <<
点击表情图即可在帖子中加入相应的表情(帖子中每个表情最多同时显示 3 次)

选项
使用 LB5000 标签？
是否显示您的签名？
您是否希望使用表情字符转换在您的文章中？
加密此帖，只对部分用户可见，用户威望至少需要

　　

帖子一览：中国黑客源代码 (新回复在最前)　 [列出前 6 个回复]

天罗地网 发表于： 2003/12/31 09:57am

我来了
路过！

6514206 发表于： 2003/12/17 08:26pm

下面引用由KomsBomb在 2002/09/21 02:26pm 发表的内容：
Computers infected since July 30, 2002
North America 80
Asia 76
Europe 9
...

jeasonzhao 发表于： 2003/08/06 12:59pm

不用吧，阿拉这么惨

huangxp 发表于： 2003/08/04 03:55pm

我也是看不了的！为什么会这样呢

myxex 发表于： 2003/07/14 00:22am

我怎么看不了啊~!!?

guojpeng 发表于： 2002/09/24 10:10pm

那我加上就是了。

KomsBomb 发表于： 2002/09/24 05:46pm

faint！
我刚发现
你怎么把代码删了？？？

KomsBomb 发表于： 2002/09/21 09:30pm

下面引用由wowocock1在 2002/09/21 08:41pm 发表的内容：
所以大家还是好好学习病毒技术，然后打一个反病毒的幌子不是更好吗？？

是啊，我们要挂羊头卖狗肉

wowocock1 发表于： 2002/09/21 08:41pm

所以大家还是好好学习病毒技术，然后打一个反病毒的幌子不是更好吗？？

玉面飞狐 发表于： 2002/09/21 07:38pm

大家还是不要说作者的好再我国处理很严的

guojpeng 发表于： 2002/09/21 07:20pm

下面引用由ANDREWS13在 2002/09/21 02:28pm 发表的内容：
上一次，中国求职信的作者被抓了，投进监狱了
WHG在这样明刀明枪的干的话，会被XX，断送自己的前途的。

大家以后可都要小心了!

KomsBomb 发表于： 2002/09/21 02:30pm

下面引用由ANDREWS13在 2002/09/21 02:28pm 发表的内容：
上一次，中国求职信的作者被抓了，投进监狱了
WHG在这样明刀明枪的干的话，会被XX，断送自己的前途的。

靠，那个搭求职信顺风船的无耻之徒最后怎么样了？
讲讲，也没个报道

ANDREWS13 发表于： 2002/09/21 02:28pm

加密帖子不能预览

KomsBomb 发表于： 2002/09/21 02:26pm

Computers infected since July 30, 2002
North America 80
Asia 76
Europe 9
South America 5
Africa 0
Australia and New Zealand 0
Total 170

Top 10 countries
United States 80
Korea, Republic of 60
Tajikistan 8
Colombia 5
France 5
Indonesia 4
Denmark 3
Japan 2
Taiwan 2
Germany 1

Rate of infection
Africa 0.0%
South America 0.0%
Asia 0.0%
Europe 0.0%
Australia and New Zealand 0.0%
North America 0.0%

KomsBomb 发表于： 2002/09/21 02:25pm

TrendMicro analyse
PE_CHIR.B
(see also: description and solution)
Variant of: WORM_CHIR.A
In the wild: No
Payload 1: Spams email
Trigger condition 1: Upon execution
Payload 2: Overwrites .ADC, .R.DB, .DOC, or .XLS files
Trigger condition 2: Every 1st day of the month
Discovered: Jul. 29, 2002
Detection available: Jul. 30, 2002
Detected by pattern file #: 330
(still using 900-series pattern files?)
Detected by scan engine #: 5.200
Language:
English
Platform: Windows
Encrypted: No
Size of virus: 6,652 Bytes
Details:
This worm exploits a known vulnerability affecting systems running Microsoft Internet Explorer 5.01 and 5.5.
This exploit allows the automatic execution of email attachments without the user opening them. The Microsoft article, Incorrect MIME Header Can Cause IE to Execute Email Attachment, contains more information on this exploit.
Upon execution, this worm executes itself as another process. Since the creation of another process consumes additional memory resources, this behavior may cause the infected system to hang.
This worm then drops the file, RUNOUCE.EXE, in the System directory. This file has hidden, system, and read only attributes, therefore, it cannot be seen in Windows Explorer unless Windows Explorer is set to view hidden and system files.
It then creates a thread of itself, and registers it as a system process. The thread creates this registry entry to enable its automatic execution on every bootup:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\
Runonce = “%System%\RUNOUCE.EXE”

It then checks whether the current drive is removable, fixed, remote, or a RAM drive. If so, it searches for files to infect.
When RUNOUCE.EXE executes, it creates a thread that restarts an instance of itself whenever the main process is terminated. This enables it to persistently stay in memory.
This worm drops several copies of the file README.EML on all directories and subdirectories. This file is actually a UUEncoded version of the worm.
(Note: UUencode is a universal protocol for sending files between different platforms. It is usually utilized for sending email attachments.)
If the infected system is connected to a network, this worm also drops copies of this UUE encoded version of the malware in shared folders with read and write access. It drops these copies to machines belonging to the same workgroup as the infected system.
Besides naming the copies as README.EML, this worm may also name them after the name of the infected sytem. For example, if the infected system's name is COMPUTER_NAME, the UUE encoded worm copies dropped can have the name COMPUTER_NAME.EML.
Some of the dropped EML files have been found to be malformed, and in this state the malware fails to work.
This worm infects files with the following extensions:
EXE
SCR
HTM
HTML
To avoid reinfecting infected files, it checks the first two Bytes of the target file’s code. If it is 0xE860, which are the first Bytes of the virus code, then it does not infect. If not, then this worm attaches its code at the end of the target file.
Its infection routine is highly similar to the infection technique of PE_NIMDA.A. It appends a script that opens the dropped file, README.EML. Trend Micro detects infected HTML files as JS_NIMDA.A.
On the 1st day of every month, this malware searches for files in all fixed drives with the following extensions and overwrites the first 4,660 bytes with random data:
ADC
R.DB
DOC
XLS
These overwritten files are thereby corrupted or damaged and can no longer be restored.
This worm sends this email to all addresses found in Windows Address Book files (.WAB) to propagate copies of itself:
From: imissyou@btmail.net.cn
Subject: is comming!
Message:
Attachment: PP.EXE

The infected email attachment is tagged as audio/x-wav content-type by this worm. Therefore, the default audio file player of the system where this email arrives attempts to open the attachment. Most Windows users have the Windows Media player as their default audio file player.
On infected systems running Windows NT 4.0, Windows 2000, and Windows XP, this malware runs the Net Send command to send the following text message to all computers belonging to the same workgroup:
My god! Some one killed ChineseHacker-2 Monitor
This malware creates a thread for every one-minute interval. Each thread runs the Net Send command and sends the text message. And since each thread consumes available memory resources, this behavior may cause the infected system to hang.

KomsBomb 发表于： 2002/09/21 02:24pm

查杀“中国黑客”实战记
出处：PConline
责任编辑：zyq

[02-6-11 10:30] 作者：金山毒霸/金山反病毒资讯网
　　自从姐姐家买了电脑，我就成了免费的技术支持与终身的技术顾问，从不能关机到安装MODEM到买视保屏都得叫上我，好在本人技术精湛，什么都不在话下，但这次遇到了一个病毒，却用了足足两天的时间才搞定，现在想起来仍是记忆犹新。
　　
　　一、第一天：感染病毒，失败而归
　　姐姐打电话来说自从收了一封电子邮件就机器就不正常了：和别人聊QQ时莫名其秒自动会打入一“打倒本拉登”或“社会主义好!”什么的，都没法聊了怕被人以为神经病，还说花了快两百块买的杀毒软件都不管用，叫我今天无论好何得过去解决问题，不敢怠慢，心想随便过去蹭饭，于是下班后，到了姐姐家，二话不说，打开电脑，进入Windows XP，姐姐在一旁埋怨：这杀毒软件不是能杀一切邮件病毒吗？怎么我还是中了招啦。我也不清楚只能陪笑说马上解决。登录进去以后，连上ADSL，运行此杀毒软件的升级程序,升级程序的进度条走完了，成功升级然后查毒。果然发现一大堆worm.runouce病毒，但杀完后复杀一次又可以查到此病毒，于是打开任务管理器，想把这runouce.exe进程干掉，但竟然，竟然干掉之后，刷新之后又被加载进来。内存杀毒也不彻底, 没辙，只能在DOS下杀，还好此杀毒软件能杀NTFS分区上的病毒，于是就用A盘引导用B盘杀毒，但只能查到病毒，杀毒失败。
　　
　　二、第二天：对症下药，亡羊补牢
　　当时快到尾班公交车的时间了，于是只好先回去，等明天中午再来，回到去到网上一查原来这是最近闹得最凶的“中国黑客”病毒，原来它除runouce.exe以外还有一个外部线程被注入到explorer.exe程序，之后将这个进程打开并分配了一块内存，将自己的监视线程代码复制到该进程中，并在远程启动监视线程，监视病毒的进程是否存在，如果不存在则将系统目录下的runouce.exe再次加载。难怪清除这么困难。同时看到金山毒霸网站上有免费下载的“中国黑客”专杀工具，是用来专门对付“中国黑客”。心想明天就用这个就可以了。到了第二天中午，冲了过去，在下载专区下载这个专杀工具一运行检查内存与注册表时果然发然有“中国黑客”，同时被清除了，然后经过半个小时的查杀，终于被清除干净。终于可以交差了。
　　
　　想不到晚上姐姐又打来电话，说病毒又出来。我倒，怎么回事？跑过去一查，真是还有。
　　我：你是不是又做什么了？
　　姐：没做什么啊，不就是看前天收下来的信嘛。
　　也不多说了马上运行专杀工具，一边杀一边又打开金山毒霸网站又查这个病毒的技术资料，发现它是通过Email传播，利用IE安全系统的IFRAME漏洞进行攻击。也就是说在Outlook Express中一预览或打开带毒信件就会中毒。我晕，怎么会把这个忘了，于是马上运行windows update 升级到IE6。升级到了IE6后，我又调整了OE中的安全级别，将工具-选项-安全中的安全区域调整为受限站点区域，并把“当别的应用程序试图用我的名义发送电子邮件时警告我”与“不允许保存或打开可能有病毒的附件”这两项都选取。如附图所示。
　　三、总结
　　染上病毒先要升级病毒库查杀同时查查此病毒的技术资料对症下药；同时机器的安全漏洞不能忽视，否则二次感染很容易发生；安全防护措施要做足，防止新病毒入侵。

KomsBomb 发表于： 2002/09/21 02:22pm

Sophos analyse
W32/Chir-A
Aliases
I-Worm.Runouce

Type
Win32 worm

Detection
A virus identity file (IDE) file which provides protection is available now from the Latest virus identities section, and is incorporated into the August 2002 (3.60) release of Sophos Anti-Virus.
At the time of writing Sophos has received just one report of this worm from the wild.

Description
W32/Chir-A is an internet worm that tries to spread via email by sending itself to email addresses found in the Windows address book.
The email will have the following characteristics:
Sender address: @hotmail.com or iloveyou@btamail.net.cn
Subject line: Hi,i am
Attached file: p.exe
The worm attempts to exploit a MIME and an IFRAME vulnerability in some versions of Microsoft Outlook, Microsoft Outlook Express and Internet Explorer to allow the executable file to run automatically without the user double-clicking on the attachment. Microsoft has issued a patch which secures against this vulnerability which can be downloaded from Microsoft Security Bulletin MS01-027. (This patch was released to fix a number of vulnerabilities in Microsoft's software, including the one exploited by this worm.)
When run the worm copies itself into the Windows system folder as runouce.exe (not runonce.exe) and sets the following registry entry so that the worm will be automatically started when Windows starts up:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Runonce =
C:\\runouce.exe
The worm also creates several EML files with the name .eml on network drives. These EML files contain a base64-encoded copy of the worm.

Recovery
Please read the instructions for removing worms.

KomsBomb 发表于： 2002/09/21 02:12pm

中国黑客(worm.runouce)病毒分析报告

--------------------------------------------------------------------------------

　
（XX公司）

该病毒是一个蠕虫病毒。不会感染可执行文件。
病毒在被激活的过程中会把病毒体自身复制到 windows 的系统目录中。
在windows 9x 系统中复制自身到 windows\system\runouce.exe .
在windows 2000和 windows NT系统中复制自身到winnt\system32\runouce.exe。然后运行该程序。并且在注册表中加入成自启动。使病毒体每次开机时都被激活。
在Windows 9x系统上该病毒利用了CIH病毒相同的手法切换到零环，使自己进到系统级。然后复制78个字节到kernel32.dll的地址空间中。（在windows 98 与windows 95的系统中的偏移地址是 bff70400处。然后通过CreateKernelThread函数建立一个内核线程。该线程的入口地址就是bff70400。这个内核线程调用了WaitForSingleObject函数使自身进入等待状态，来等待父进程的结束信号。如果父进程被结束，则该内核线程立即被唤醒。内核线程马上调用了WinExec函数，来重新启动病毒进程。
这样，在杀毒软件杀掉内存中的病毒进程后。病毒马上又被激活。这样造成杀不掉内存中的病毒。
该病毒在windows 2000操作系统上在explorer中注入线程。在explorer中的线程用来保护病毒进程。如果病毒进程结束，则explorer中的病毒线程重新启动病毒进程。

该病毒通过以上的方法来起到在内存中保护病毒进程的作用。
该病毒有极强的局域网传染功能。
病毒通过搜索网上邻居中的可写文件夹，然后在每个可写文件夹中都生成一个以计算机器名命名的eml文件
。并且该eml文件是有自启动漏洞的eml文件。

发作现象：
在用户系统中若装有oicq聊天软件。则病毒进程每5个小时发作一次。发作时启动一个发作线程。这个发作线程会搜索名字为“发送消息”的窗口，若正在用oicq 发送消息时。病毒先会在发送窗口中输入12个回车换行符，然后病毒在以下的几句话放到发送消息的窗口中。
世界需要和平!
　　去他妈的 *** !
　　反对邪教,崇尚科学!
　　打倒本拉登!
　　向英雄王伟致意!
　　反对霸权主义!
　　社会主义好!
当用户点击发送按钮时就会被发送出去。输入的12个回车换行符作用是使病毒加入的文字信息超出窗口的可见区域。用来防止用户看到被加入文字内容。

guojpeng 发表于： 2002/09/21 12:31pm

下面引用由yny在 2002/09/21 09:10am 发表的内容：
你说“中国黑客”是他的作品？！
这可是违法的。

嘘..........

KomsBomb 发表于： 2002/09/21 10:38am

[这个贴子最后由KomsBomb在 2002/09/21 02:11pm 编辑]

下面引用由guojpeng在 2002/09/20 10:36pm 发表的内容：
google中的搜索：
已向英特网搜索中国黑客病毒. 共约有5,490项查询结果，这是第1-10项。搜索用时0.04秒
不过无花果好像不大满意这个数字。

它的英文是什么？好像是runouce，你搜一下，看能搜到几个
再搜搜NImda，Klez，看又能搜到多少。
我们玩弄病毒，不能光想着在国内玩啊

yny 发表于： 2002/09/21 09:10am

下面引用由guojpeng在 2002/09/20 10:32pm 发表的内容：
呵呵，对啊，我说过事实会证明他的新病毒会让反病毒届措手不及的。三线程技术是一种新的想法，确实是一时让大部分杀毒软件对它完全没有防备，或许大家现在在想：其实这没有什么。不过，idea很好，不容否认啊。

你说“中国黑客”是他的作品？！
这可是违法的。

yny 发表于： 2002/09/21 09:00am

下面引用由andrews13在 2002/09/20 10:41pm 发表的内容：
只是一些驱动的技术了，没什么的。

有驱动的技术？不会把

andrews13 发表于： 2002/09/20 10:41pm

下面引用由guojpeng在 2002/09/20 10:32pm 发表的内容：
呵呵，对啊，我说过事实会证明他的新病毒会让反病毒届措手不及的。三线程技术是一种新的想法，确实是一时让大部分杀毒软件对它完全没有防备，或许大家现在在想：其实这没有什么。不过，idea很好，不容否认啊。

只是一些驱动的技术了，没什么的。

guojpeng 发表于： 2002/09/20 10:36pm

[这个贴子最后由guojpeng在 2002/09/21 07:30pm 编辑]

google中的搜索：
已向英特网搜索中国黑客病毒. 共约有5,490项查询结果，这是第1-10项。搜索用时0.04秒

guojpeng 发表于： 2002/09/20 10:32pm

[这个贴子最后由guojpeng在 2002/09/21 07:29pm 编辑]

三线程技术是一种新的想法，确实是一时让大部分杀毒软件对它完全没有防备，或许大家现在在想：其实这没有什么。不过，idea很好，不容否认啊。

KomsBomb 发表于： 2002/09/20 05:15pm

下面引用由ANDREWS13在 2002/09/20 05:14pm 发表的内容：
是无花果的作品（好像是2002年有流行趋向的）。

哪里流行了？好像都是你们杀手瞎吹的

ANDREWS13 发表于： 2002/09/20 05:14pm

加密帖子不能预览

KomsBomb 发表于： 2002/09/20 03:52pm

没事乎？没事哉

guojpeng 发表于： 2002/09/20 03:47pm

加密帖子不能预览


您的查询字词都已标明如下：some one killed chinesehacker monitor (点击查询词，可以跳到它在文中首次出现的位置) (百度和网页http://bbs.logincom.com/bbs/cgi-bin/post.cgi?action=replyquote&forum=3&topic=145&postno=27&listmy=1的作者无关，不对其内容负责。)