【Cancer内置画面】图片来源:Bleeping Computer
你可能听到过恶意软件,可是却很少听到过恶搞软件。 对,就是那种贱贱的不勒索什么,但就是要把你的电脑搞残的那种无良软件。
最近,雷锋网了解到,安全研究人员 MalwareHunter 就发现了一款新的恶意软件,最初,他还以为这就是款勒索软件,结果却是只乱来,不勒索的奇葩货。
这货名叫“Cancer”,跟它的远亲勒索软件不一样的是,它也不搞坏什么文件,但是就是会让你的电脑崩溃,比如,擅自做主给你播放一些烦死人的音乐,不让你用一些应用软件,把你的窗口和图片在屏幕上搬来搬去,冷不丁地让各种窗口冒出来……
呵呵哒,捣乱真的只服它。
其实,以前也出现过类似的恶搞软件,“前人”名为“ CainXPiiCleaner”,由GData 的恶意软件分析员Karsten Hahn在去年11月发现。
为了搞清这货的运行机制,MalwareHunter 与外媒 Bleeping Computer 的首席恶意软件分析师 Lawrence Abrams 对 Cancer 的源代码进行了分析。
首先,运行Cancer会引发一个网络请求至这个URL(http://hostingonline.desi/register.php?ref=3625708941 ),即这款恶意软件作者的注册地址,这个连接目前显示错误,这通常由一个破碎的PHP脚本引起,所以目前并不知道这个服务器是否正在记录受害者信息。
然后,Cancer会寻找并关闭所有包含下列字符串的OS进程。
vmtools,cheatengine,debug,dumpcap,regshot,SandboxieRpcSs,SandboxieDcomLaunch,Sandboxie,OllyDbg,IDAq,monitor,debug,dbg,vmtool,vmware,malwarebytes,antivirus,malware,anti,secure,cheat,engine,immunity,shark,spy,hunter,av,qihoo,eset,nod,avast,f-secure,secur,protect,idaq,strike,falcon,avira,norton,quard,zone,alarm,kasp,avg,clam,panda,cloud,comodo,defend,root
在确定没有什么可以侦测或者阻止它时,Cancer 就会开始在你的电脑散播“癌症”了,各种捣乱。
雷锋网觉得,也没啥合适的语言可以描述这种疯狂的行为,感觉视频演示才是王道:
【视频来源:Bleeping Computer】
在这个视频里没有体现出来的是,Cancer 会重命名你的C盘为 “CANCERRRRRRRRRRRRRRRRRRRRRRRRR” 。
对,就是这么有个性!
仔细查看一番,你会在源代码里发现作者的线索,就是下面的细节:
contact info: base.Load += new EventHandler(this.Box_Load); this.string_0 = "HELLO.\r\nI HAVE SOMETHING YOU MUST REMEMBER IF YOU WANT TO TALK...\r\n\r\nEmail: arran.bishop89@aol.com\r\nSkype: jquery.finland\r\nXMPP: jqueryxmpp@exploit.im\r\nWebsite: https://hack.chat?programming\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n";
目前,尚未有人能与 Cancer 的作者取得联系,问问他为啥弄出来这么个捣蛋鬼!
由于 Cancer 有持续性引导性,且在安全模式( Safe Mode)下依然可以自动启动,因此从已感染的主机中移除它还是很困难的。Bleeping Computer 的研究人员目前正在写一个移除指导,帮助中招的人删掉这个垃圾。
最后,雷锋网编辑觉得,你应该可以从行文中感受到原作者的愤怒。