发信人: emil()
整理人: emil(1999-09-17 17:27:18), 站内信件
|
这是一个在Java机上复制并传染其他的Java程序的Java病毒,是继 "Java.StrangeBrew"之后发现的又一新型Java病毒,它有着特殊的传播方法: 它分为“启动”和“主体”两部分,当复制的时候它仅仅把自己的启动部分 传播,而病毒主体部分的代码则被存放在远端的(某些黑客组织的)Web服务 器上。一旦这种病毒发作,它便开始读取远端Web服务器上该病毒的主体部分 的代码,然后运行。病毒的主体程序则开始在您当前目录及其子目录下查找 Java程序,然后把此病毒的启动部分传染给它们(并不感染已中毒的文件)所 以它传播的时候只增加了很少的代码,而病毒的主体则藏在远端的服务器上。
病毒特征: 此病毒运用了一些很先进的技术:这种多组分开的方法可以很容易的把病毒代 码隐藏在被感染的文件中,被感染文件的长度却只增加了一点儿,使被加入的 代码看起来也似乎是无害的。这种把两部分组合起来的方法还能使病毒的制造 者很容易的通过修改服务器上的主体程序而使病毒的版本升级。这种病毒只能 在有限的环境中传播,当它在普通的浏览器中作为一般的Java程序运行时是绝 对不会感染系统的。标准的安全保护会禁止那些访问硬盘文件以及下载Java文 件的企图,这种病毒仅仅能在Java机上被作为硬盘上的Java程序运行时才会传 染。
技术详情: 此病毒的启动部分是只有40行的Java程序代码,一但它得到了控制权,就会连 接到远端的Web服务器上,下载它主体部分的程序代码并把它作为一个子程序 来运行。主体部分的程序代码也被分成五部分并分别存储在五个不同的Java文 件中。
以下是那些从服务器上下载下来在需要时运行的文件: BeanHive.class +--- e89a763c.class +--- a98b34f2.class +--- c8f67b45.class +--- dc98e742.class *摘自时代先锋 -- 欢迎光临“病毒观察” http://bd.yeah.net “聊毒斋” http://ldz.126.com Email: [email protected]
※ 修改:.emil 于 Mar 6 12:52:15 修改本文.[FROM: 202.96.151.222] ※ 来源:.网易 BBS bbs.netease.com.[FROM: 202.96.151.222]
|
|