“cb.exe.f”

蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，windows下可执行文件的格式为pe格式(portableexecutable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。

可见，病毒主要是感染文件，当然也还有像dirii这种链接型病毒，还有引导区病毒。

引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器。

看着这样两个文件信息，刘毅知道，之前自己所查的信息，并非是蠕虫主程序，而是宿主，主程序只是随着宿主的启动而进行加载运行，因此，可以判定，如今出现的这两个文件，才是病毒的核心代码执行区。

有了这样的分析结果，紧跟着再次打开分析工具，加载cb.exe进行运行。

运行后，虚拟系统的运行速率明显降低，加载项目缓慢，很显然，如今这台虚拟系统已经成功感染蠕虫病毒，不过，感染后，除了系统运行过慢外，并无其他的异常状况。

分析工具再次截获程序执行脚印，并将之进行截取记录。

“hkey_current_user\\software\\microsoft\\windows\\currentversion\\applets\\“dl“=“0“*hkey_local_mae\\software\\microsoft\\windows\\currentversion\\applets\\“dl“=“0“*hkey_current_user\\software\\microsoft\\windows\\currentversion\\applets\\“ds“=“0“*hkey_local_mae\\software\\microsoft\\windows\\currentversion\\applets\\“d”

看着这些记录信息，刘毅点了点头。

该蠕虫病毒与基本蠕虫病毒并没有什么两样，首先，根据本地系统条件，分别自执行操作，对注册表进行检测，检测后，开始根据注册表项进行创建，随后根据注册表项，将其自身复制为一个或多个注册表信息，并且开辟新的服务，以便躲过杀软的检测以及自运行的效果。

刘毅盯着眼前的信息，双眼一眨不眨，仔细进行分析。

注册表项修改结束后，接下来，分析记录工具内容显示窗口内，病毒对tcp\/ip协议进行了禁用，自动微调，加快感染计算机的访问，从而加快病毒的传播。

或许是因为本系统为虚拟机的关系，外网传播的过程未被记录下来。

看着这些信息，刘毅皱了皱眉。

整个病毒在运行过程当中，并没有什么异常的代码组成，整个的蠕虫病毒代码执行操作，可以说普通的不能再普通。

看着这样的信息，刘毅感到有些奇怪。

不应该啊？r国整体的黑客能力，只有这样的高度？

就在这个时候，病毒执行操作记录文本，出现了一行行顶级域名信息，见到这样的信息，刘毅收起了自己疑惑，细致观察起这最后的几个顶级域名信息。

这是？

蠕虫病毒存在远程未知通信！

看着这一个个域名信息，刘毅好像明白了什么。

我就说，这个事情不会这么简单。

随后通过代码内现实的域名信息，刘毅将之进行记录，随后打开本系统，同时运行小k，按照之前记录的域名信息进行站点访问。

就在地址输入完毕，浏览器画面转变后，小k再次传出危险警告。

看着警告内容，刘毅点了点头。

和他预想的一样，这当中果然存在着联系。

与之前提取病毒样本后所面临的结果一样，病毒提示信息，“蠕虫！”

“小k，准备进行病毒样本提取！”

“明白！开始进行样本病毒提取！”

和之前一样，这一次看到病毒信息后，刘毅和之前一样，再次进行了病毒样本的提取，想要看看这两款病毒是否存在什么联系。

差不多经过了五分钟左右的时间，这家网站服务器内寄存的蠕虫病毒，再次被k系统截获，截获成功后，刘毅立刻进入虚拟系统，准备针对这一病毒，较之前的樱花进行比对。

进入虚拟机，和之前的操作一样，分别进行脱壳分析。

加载病毒到进程工具后，开始运行。

与之前一样，运行后同样，出现大量自加载程序，因为有了之前的经验，刘毅打开根目录，一个“obc.exe”的文件出现。

看到这样的文件信息，刘毅知道，这就是主程序了，随后再次进入到分析状态当中。

经过主程序的运行，这一次，虚拟机没能幸免，随着主病毒程序的运行，本虚拟机彻底报废，与之前博大所遇的情况完全一样。

看到这样的信息，刘毅点了点头。

开始自己的想法是错的，他们并非是要做什么大规模的蠕虫病毒危机，而是想要利用多种蠕虫病毒进行伪装，造起声势，恐吓为主。

不得不说，r国方面，对于恐吓造势，可以说练的可真是炉火纯青。

为什么这么说，主要在于博达。

之前，在检察院方面发现病毒后，寝室当中，博达的计算机是第一台感染机，当时刘毅也看了，损坏无法开机的主要原因就在于系统关键位置信息遭受破坏。

可是，在刘毅打算根据病毒进行查杀，亲自进入到检察院官网，对服务器样本病毒进行拷贝后，拿到虚拟机内的样本毒在运行后，本系统并未出现任何的反应，出现这样的一个情况，已经让刘毅起了疑心。

随后，在第一次进行病毒原理分析后，那几个顶级域名信息，突然打通了刘毅的思路，让其明白了当中最为关键的信息，同时也让他知晓了，r国方面的计策。