发信人: emil()
整理人: emil(1999-09-17 17:27:18), 站内信件
|
这是一个在Java机上复制并传染其他的Java程序的Java病毒,是继
"Java.StrangeBrew"之后发现的又一新型Java病毒,它有着特殊的传播方法:
它分为“启动”和“主体”两部分,当复制的时候它仅仅把自己的启动部分
传播,而病毒主体部分的代码则被存放在远端的(某些黑客组织的)Web服务
器上。一旦这种病毒发作,它便开始读取远端Web服务器上该病毒的主体部分
的代码,然后运行。病毒的主体程序则开始在您当前目录及其子目录下查找
Java程序,然后把此病毒的启动部分传染给它们(并不感染已中毒的文件)所
以它传播的时候只增加了很少的代码,而病毒的主体则藏在远端的服务器上。
病毒特征:
此病毒运用了一些很先进的技术:这种多组分开的方法可以很容易的把病毒代
码隐藏在被感染的文件中,被感染文件的长度却只增加了一点儿,使被加入的
代码看起来也似乎是无害的。这种把两部分组合起来的方法还能使病毒的制造
者很容易的通过修改服务器上的主体程序而使病毒的版本升级。这种病毒只能
在有限的环境中传播,当它在普通的浏览器中作为一般的Java程序运行时是绝
对不会感染系统的。标准的安全保护会禁止那些访问硬盘文件以及下载Java文
件的企图,这种病毒仅仅能在Java机上被作为硬盘上的Java程序运行时才会传
染。
技术详情:
此病毒的启动部分是只有40行的Java程序代码,一但它得到了控制权,就会连
接到远端的Web服务器上,下载它主体部分的程序代码并把它作为一个子程序
来运行。主体部分的程序代码也被分成五部分并分别存储在五个不同的Java文
件中。
以下是那些从服务器上下载下来在需要时运行的文件:
BeanHive.class
+--- e89a763c.class
+--- a98b34f2.class
+--- c8f67b45.class
+--- dc98e742.class
*摘自时代先锋
--
欢迎光临“病毒观察” http://bd.yeah.net
“聊毒斋” http://ldz.126.com
Email: [email protected]
※ 修改:.emil 于 Mar 6 12:52:15 修改本文.[FROM: 202.96.151.222]
※ 来源:.网易 BBS bbs.netease.com.[FROM: 202.96.151.222]
|
|