Black Day继续更新,17岁的孩子真的无语了
$hh+0hs 黑色星期五
%'N$lF"] 今天周四了,明天是周五了.这个17岁的第二个黑色星期五
,H>W:O 如今的孩子真实太无知了,不知道他们在想什么,对什么不满?为什么要写病毒出名?有意思吗?太多太多无语了.
XZ.7c{B< 病毒信息
fO K|: File size: 260096 bytes
sffhPX\I MD5: b9f157ef693e451da8cb09e3c0a70f43
-i#J[>=w{C SHA1: a6ab29fcbacb147334d88ba1a3db020d36772ea9
@-0Fe9 n= 加壳方式:目前无
9khjwt 编写语言:Borland Delphi 6.0 - 7.0
oP/>ju 杀软的侦测结果
^6Yd} 2(pLxVl 79d951da38c3bfdfb6fd484e.jpg (157.78 KB)
"tqnx?pM 2007-4-27 00:21
HmvsYP66
病毒里面的信息
R.K?
L i s t c a p a c i t y o u t o f b o u n d s ( % d ) L i s t c o u n t o u t o f b o u n d s ( % d ) L i s t i n d e x o u t o f b o u n d s ( % d ) S t r e a m r e a d e r r o r % s . S e e k n o t i m p l e m e n t e d $ O p e r a t i o n n o t a l l o w e d o n s o r t e d l i s t S t r e a m w r i t e e r r o r C a n v a s d o e s n o t a l l o w d r a w i n g T h u F r i S a t S u n d a y M o n d a y T u e s d a y W e d n e s d a y T h u r s d a y F r i d a y S a t u r d a y C a n n o t a s s i g n a % s t o a % s % L i s t d o e s n o t a l l o w d u p l i c a t e s ( $ 0 % x ) % S t r i n g l i s t d o e s n o t a l l o w d u p l i c a t e s C a n n o t c r e a t e f i l e " % s " . % s C a n n o t o p e n f i l e " % s " . % s I n v a l i d p r o p e r t y v a l u e J a n u a r y F e b r u a r y M a r c h A p r i l M a y J u n e J u l y A u g u s t S e p t e m b e r O c t o b e r N o v e m b e r D e c e m b e r S u n M o n T u e W e d A b s t r a c t E r r o r ? A c c e s s v i o l a t i o n a t a d d r e s s % p i n m o d u l e ' % s ' . % s o f a d d r e s s % p S y s t e m E r r o r . C o d e : % d .
6N"m?g*Z
d % s A c a l l t o a n O S f u n c t i o n f a i l e d J a n F e b M a r A p r M a y J u n J u l A u g S e p O c t N o v D e c V a r i a n t o r s a f e a r r a y i s l o c k e d I n v a l i d v a r i a n t t y p e c o n v e r s i o n I n v a l i d v a r i a n t o p e r a t i o n % I n v a l i d v a r i a n t o p e r a t i o n ( % s % . 8 x )
rwy+~ % s 5 C o u l d n o t c o n v e r t v a r i a n t o f t y p e ( % s ) i n t o t y p e ( % s ) = O v e r f l o w w h i l e c o n v e r t i n g v a r i a n t o f t y p e ( % s ) i n t o t y p e ( % s ) V a r i a n t o v e r f l o w I n v a l i d a r g u m e n t I n v a l i d v a r i a n t t y p e O p e r a t i o n n o t s u p p o r t e d U n e x p e c t e d v a r i a n t e r r o r E x t e r n a l e x c e p t i o n % x A s s e r t i o n f a i l e d I n t e r f a c e n o t s u p p o r t e d E x c e p t i o n i n s a f e c a l l m e t h o d % s ( % s , l i n e % d ) I n v a l i d p o i n t e r o p e r a t i o n I n v a l i d c l a s s t y p e c a s t 0 A c c e s s v i o l a t i o n a t a d d r e s s % p . % s o f a d d r e s s % p A c c e s s v i o l a t i o n S t a c k o v e r f l o w
P{?;T5ap6 C o n t r o l - C h i t P r i v i l e g e d i n s t r u c t i o n ( E x c e p t i o n % s i n m o d u l e % s a t % p .
G'u|Q
mb1 % s % s
'e F% A p p l i c a t i o n E r r o r 1 F o r m a t ' % s ' i n v a l i d o r i n c o m p a t i b l e w i t h a r g u m e n t N o a r g u m e n t f o r f o r m a t ' % s ' " V a r i a n t m e t h o d c a l l s n o t s u p p o r t e d R e a d W r i t e $ E r r o r c r e a t i n g v a r i a n t o r s a f e a r r a y ) V a r i a n t o r s a f e a r r a y i n d e x o u t o f b o u n d s
`M&P[.9Pz O u t o f m e m o r y I / O e r r o r % d F i l e n o t f o u n d I n v a l i d f i l e n a m e T o o m a n y o p e n f i l e s F i l e a c c e s s d e n i e d R e a d b e y o n d e n d o f f i l e D i s k f u l l I n v a l i d n u m e r i c i n p u t D i v i s i o n b y z e r o R a n g e c h e c k e r r o r I n t e g e r o v e r f l o w I n v a l i d f l o a t i n g p o i n t o p e r a t i o n F l o a t i n g p o i n t d i v i s i o n b y z e r o F l o a t i n g p o i n t o v e r f l o w F l o a t i n g p o i n t u n d e r f l o w Floatingpointunderflow
_ w/_(k 病毒行为:
tl|ijR 病毒运行后拷贝自身到每个盘符根目录下,生成autorun.inf文件OPEN关联指向病毒程序,搜索系统分区从后至前开始感染,病毒不感染病毒程序和autorun.inf,其他的文件类型全部不放过,小于病毒体的文件使用覆盖加重命名的方式替换,被覆盖的文件名后会多加一个exe的扩展名,大于病毒体的文件使用捆绑追加的方法把病毒程序覆盖到文件头、追加病毒特征到该文件尾,关闭被感染文件含有时间字串的对话框,对ASP ASPX PHP JSP HTM HTML网页文件不会替换,而是采用了感染挂马的方式来放大感染对象,挂马的代码为:hxxp://www.****youxi.net/index.htm' width=100 height=0由于病毒会感染C盘的启动文件和系统文件,所以会造成系统蓝屏重启后无法开机等问题。
C>^,*7dS 比病毒大的文件,病毒会将文件前部替换成自己的代码,在文件的最后加上.WSWhacker信息,共变大10个字节
wb
b*nL|P 作者留言:
kP@HG<~ CODE:131535D0 db 'I can',27h,'t change my sanguinary inbeing,never.I canfeel that the tears come by my face.'
IXnb]q. CODE:131535D0 db 'Kill my self is the best,maybe.so Please.',0Dh,0Ah
TN5>" ??" CODE:131535D0 db 'My Name:wswhacker My age:17',0Dh,0Ah
oz LH ]* CODE:131535D0 db 'I feeling free when I am not in prison.Can you feel my word?',0
eNtf#Rqym (我不會改變我嗜血的本性﹐從來不會。我能感覺到淚水滑落我的臉龐。殺了我吧﹐這也許是最好的辦法。當我不在監獄的時候我覺得自由﹐你能讀懂我的意思嗎﹖) FC{})|yh
} 一、中毒后的现像: a0PE^U 1、所有的图标会变成一个黑炸弹的图标: `M:DZNy,
80C(H!^ kVd5,Qd 2、激活该蠕虫时会有以下的对话框出现: 0Z"s_r}h
jgG$'|s} u^t$cLIZ 二、破坏行为: c&E]E( 1、感染网页相关文件。 2`EVdl7B] 该蠕虫会感染D盘到Z盘上的.asp|.htm|.html|.aspx|.PHP|.JSP文件。在原文件最后插入一个Iframe标签,使用户不知不觉中访问恶意站点。Iframe标签的内容如下:
1B 5:s,Oyj 其中,hxxp://www.dadayouxi.net[/url]网站含有恶意代码,打开该网站时,该蠕虫已经被下载到本地计算机并尝试运行。
\wYc1M@7V qe<Hfp/p 2、破坏文件。 q]CeD 该蠕虫会把D盘到Z盘上所有的小于自身文件长度的文件删除,然后把自己伪装成目标文件。对于大于自身文件长度的文件,该蠕虫将用自己的文件内容覆盖目标文件,目标文件长度不发生改变。被破坏的文件的文件名不会发生改变。