0
| 本文作者: 李勤 | 2017-02-07 13:16 |
【Cancer內置畫面】圖片來源:Bleeping Computer
你可能聽到過惡意軟件,可是卻很少聽到過惡搞軟件。 對,就是那種賤賤的不勒索什么,但就是要把你的電腦搞殘的那種無良軟件。
最近,雷鋒網了解到,安全研究人員 MalwareHunter 就發現了一款新的惡意軟件,最初,他還以為這就是款勒索軟件,結果卻是只亂來,不勒索的奇葩貨。
這貨名叫“Cancer”,跟它的遠親勒索軟件不一樣的是,它也不搞壞什么文件,但是就是會讓你的電腦崩潰,比如,擅自做主給你播放一些煩死人的音樂,不讓你用一些應用軟件,把你的窗口和圖片在屏幕上搬來搬去,冷不丁地讓各種窗口冒出來……
呵呵噠,搗亂真的只服它。
其實,以前也出現過類似的惡搞軟件,“前人”名為“ CainXPiiCleaner”,由GData 的惡意軟件分析員Karsten Hahn在去年11月發現。
為了搞清這貨的運行機制,MalwareHunter 與外媒 Bleeping Computer 的首席惡意軟件分析師 Lawrence Abrams 對 Cancer 的源代碼進行了分析。
首先,運行Cancer會引發一個網絡請求至這個URL(http://hostingonline.desi/register.php?ref=3625708941 ),即這款惡意軟件作者的注冊地址,這個連接目前顯示錯誤,這通常由一個破碎的PHP腳本引起,所以目前并不知道這個服務器是否正在記錄受害者信息。
然后,Cancer會尋找并關閉所有包含下列字符串的OS進程。
vmtools,cheatengine,debug,dumpcap,regshot,SandboxieRpcSs,SandboxieDcomLaunch,Sandboxie,OllyDbg,IDAq,monitor,debug,dbg,vmtool,vmware,malwarebytes,antivirus,malware,anti,secure,cheat,engine,immunity,shark,spy,hunter,av,qihoo,eset,nod,avast,f-secure,secur,protect,idaq,strike,falcon,avira,norton,quard,zone,alarm,kasp,avg,clam,panda,cloud,comodo,defend,root
在確定沒有什么可以偵測或者阻止它時,Cancer 就會開始在你的電腦散播“癌癥”了,各種搗亂。
雷鋒網覺得,也沒啥合適的語言可以描述這種瘋狂的行為,感覺視頻演示才是王道:
【視頻來源:Bleeping Computer】
在這個視頻里沒有體現出來的是,Cancer 會重命名你的C盤為 “CANCERRRRRRRRRRRRRRRRRRRRRRRRR” 。
對,就是這么有個性!
仔細查看一番,你會在源代碼里發現作者的線索,就是下面的細節:
contact info: base.Load += new EventHandler(this.Box_Load); this.string_0 = "HELLO.\r\nI HAVE SOMETHING YOU MUST REMEMBER IF YOU WANT TO TALK...\r\n\r\nEmail: arran.bishop89@aol.com\r\nSkype: jquery.finland\r\nXMPP: jqueryxmpp@exploit.im\r\nWebsite: https://hack.chat?programming\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n";
目前,尚未有人能與 Cancer 的作者取得聯系,問問他為啥弄出來這么個搗蛋鬼!
由于 Cancer 有持續性引導性,且在安全模式( Safe Mode)下依然可以自動啟動,因此從已感染的主機中移除它還是很困難的。Bleeping Computer 的研究人員目前正在寫一個移除指導,幫助中招的人刪掉這個垃圾。
最后,雷鋒網編輯覺得,你應該可以從行文中感受到原作者的憤怒。
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
