Black Day继续更新,17岁的孩子真的无语了
BG_6$9y 黑色星期五
C;0VR 今天周四了,明天是周五了.这个17岁的第二个黑色星期五
kgP6'`}E[ 如今的孩子真实太无知了,不知道他们在想什么,对什么不满?为什么要写病毒出名?有意思吗?太多太多无语了.
Y?AvcY. 病毒信息
\ 0/m$V. File size: 260096 bytes
3?Fe(!@ MD5: b9f157ef693e451da8cb09e3c0a70f43
#H;1)G(/ SHA1: a6ab29fcbacb147334d88ba1a3db020d36772ea9
m+QZ| 加壳方式:目前无
cJ#n<Rsz 编写语言:Borland Delphi 6.0 - 7.0
*r)dtI* 杀软的侦测结果
%$'Z"njO&
E<'V6T9bi
79d951da38c3bfdfb6fd484e.jpg (157.78 KB)
5}TTf2&Xo# 2007-4-27 00:21
"Pl.G[Buc- 病毒里面的信息
U;#G$ L i s t c a p a c i t y o u t o f b o u n d s ( % d ) L i s t c o u n t o u t o f b o u n d s ( % d ) L i s t i n d e x o u t o f b o u n d s ( % d ) S t r e a m r e a d e r r o r % s . S e e k n o t i m p l e m e n t e d $ O p e r a t i o n n o t a l l o w e d o n s o r t e d l i s t S t r e a m w r i t e e r r o r C a n v a s d o e s n o t a l l o w d r a w i n g T h u F r i S a t S u n d a y M o n d a y T u e s d a y W e d n e s d a y T h u r s d a y F r i d a y S a t u r d a y C a n n o t a s s i g n a % s t o a % s % L i s t d o e s n o t a l l o w d u p l i c a t e s ( $ 0 % x ) % S t r i n g l i s t d o e s n o t a l l o w d u p l i c a t e s C a n n o t c r e a t e f i l e " % s " . % s C a n n o t o p e n f i l e " % s " . % s I n v a l i d p r o p e r t y v a l u e J a n u a r y F e b r u a r y M a r c h A p r i l M a y J u n e J u l y A u g u s t S e p t e m b e r O c t o b e r N o v e m b e r D e c e m b e r S u n M o n T u e W e d A b s t r a c t E r r o r ? A c c e s s v i o l a t i o n a t a d d r e s s % p i n m o d u l e ' % s ' . % s o f a d d r e s s % p S y s t e m E r r o r . C o d e : % d .
<9]J/w+ % s A c a l l t o a n O S f u n c t i o n f a i l e d J a n F e b M a r A p r M a y J u n J u l A u g S e p O c t N o v D e c V a r i a n t o r s a f e a r r a y i s l o c k e d I n v a l i d v a r i a n t t y p e c o n v e r s i o n I n v a l i d v a r i a n t o p e r a t i o n % I n v a l i d v a r i a n t o p e r a t i o n ( % s % . 8 x )
eCjyx|:J % s 5 C o u l d n o t c o n v e r t v a r i a n t o f t y p e ( % s ) i n t o t y p e ( % s ) = O v e r f l o w w h i l e c o n v e r t i n g v a r i a n t o f t y p e ( % s ) i n t o t y p e ( % s ) V a r i a n t o v e r f l o w I n v a l i d a r g u m e n t I n v a l i d v a r i a n t t y p e O p e r a t i o n n o t s u p p o r t e d U n e x p e c t e d v a r i a n t e r r o r E x t e r n a l e x c e p t i o n % x A s s e r t i o n f a i l e d I n t e r f a c e n o t s u p p o r t e d E x c e p t i o n i n s a f e c a l l m e t h o d % s ( % s , l i n e % d ) I n v a l i d p o i n t e r o p e r a t i o n I n v a l i d c l a s s t y p e c a s t 0 A c c e s s v i o l a t i o n a t a d d r e s s % p . % s o f a d d r e s s % p A c c e s s v i o l a t i o n S t a c k o v e r f l o w
_'Rg7zHTp- C o n t r o l - C h i t P r i v i l e g e d i n s t r u c t i o n ( E x c e p t i o n % s i n m o d u l e % s a t % p .
-ND1+`yD % s % s
-_BX\iP{ A p p l i c a t i o n E r r o r 1 F o r m a t ' % s ' i n v a l i d o r i n c o m p a t i b l e w i t h a r g u m e n t N o a r g u m e n t f o r f o r m a t ' % s ' " V a r i a n t m e t h o d c a l l s n o t s u p p o r t e d R e a d W r i t e $ E r r o r c r e a t i n g v a r i a n t o r s a f e a r r a y ) V a r i a n t o r s a f e a r r a y i n d e x o u t o f b o u n d s
cq~~a(IS O u t o f m e m o r y I / O e r r o r % d F i l e n o t f o u n d I n v a l i d f i l e n a m e T o o m a n y o p e n f i l e s F i l e a c c e s s d e n i e d R e a d b e y o n d e n d o f f i l e D i s k f u l l I n v a l i d n u m e r i c i n p u t D i v i s i o n b y z e r o R a n g e c h e c k e r r o r I n t e g e r o v e r f l o w I n v a l i d f l o a t i n g p o i n t o p e r a t i o n F l o a t i n g p o i n t d i v i s i o n b y z e r o F l o a t i n g p o i n t o v e r f l o w F l o a t i n g p o i n t u n d e r f l o w Floatingpointunderflow
D<'G\#n3I= 病毒行为:
C6A!JegU 病毒运行后拷贝自身到每个盘符根目录下,生成autorun.inf文件OPEN关联指向病毒程序,搜索系统分区从后至前开始感染,病毒不感染病毒程序和autorun.inf,其他的文件类型全部不放过,小于病毒体的文件使用覆盖加重命名的方式替换,被覆盖的文件名后会多加一个exe的扩展名,大于病毒体的文件使用捆绑追加的方法把病毒程序覆盖到文件头、追加病毒特征到该文件尾,关闭被感染文件含有时间字串的对话框,对ASP ASPX PHP JSP HTM HTML网页文件不会替换,而是采用了感染挂马的方式来放大感染对象,挂马的代码为:hxxp://www.****youxi.net/index.htm' width=100 height=0由于病毒会感染C盘的启动文件和系统文件,所以会造成系统蓝屏重启后无法开机等问题。
)Lg~2]'?j 比病毒大的文件,病毒会将文件前部替换成自己的代码,在文件的最后加上.WSWhacker信息,共变大10个字节
C9 j{:& 作者留言:
'HJ<"< CODE:131535D0 db 'I can',27h,'t change my sanguinary inbeing,never.I canfeel that the tears come by my face.'
0IyT(1hS CODE:131535D0 db 'Kill my self is the best,maybe.so Please.',0Dh,0Ah
3QCCX$, CODE:131535D0 db 'My Name:wswhacker My age:17',0Dh,0Ah
Ym?VF{e, CODE:131535D0 db 'I feeling free when I am not in prison.Can you feel my word?',0
0[p"8+x (我不會改變我嗜血的本性﹐從來不會。我能感覺到淚水滑落我的臉龐。殺了我吧﹐這也許是最好的辦法。當我不在監獄的時候我覺得自由﹐你能讀懂我的意思嗎﹖) N<XMSt 一、中毒后的现像: X7txAp. 1、所有的图标会变成一个黑炸弹的图标: V ;"Rp-`^
!b?cY{ K!(hj '0. 2、激活该蠕虫时会有以下的对话框出现: U#`2~Qv/1
^qLesP#
" ~q~)T1Z 二、破坏行为: iL|5}x5\ 1、感染网页相关文件。 HV{W7) 该蠕虫会感染D盘到Z盘上的.asp|.htm|.html|.aspx|.PHP|.JSP文件。在原文件最后插入一个Iframe标签,使用户不知不觉中访问恶意站点。Iframe标签的内容如下:
0:$pJtx" 其中,hxxp://www.dadayouxi.net[/url]网站含有恶意代码,打开该网站时,该蠕虫已经被下载到本地计算机并尝试运行。
O~|Y#T
xy]oj 2、破坏文件。 piFZu/~Gq\ 该蠕虫会把D盘到Z盘上所有的小于自身文件长度的文件删除,然后把自己伪装成目标文件。对于大于自身文件长度的文件,该蠕虫将用自己的文件内容覆盖目标文件,目标文件长度不发生改变。被破坏的文件的文件名不会发生改变。