大约过了三十分钟,扫描工具提示扫描完成,并未发现发毒。
顾枫打开系统自带的资源监视器,查看各项资源使用情况。
他发现CPU的使用率存在异常波动,某些时刻会突然飙升到极高数值,而且内存的占用也出现了不规则的增长。
这是病毒的活动迹象,但扫描工具居然没能检测出来。
旁边的维修师傅沉声说道:“这个病毒很隐晦,重做系统后还能冒出来!”
顾枫眉头紧皱,神色凝重道:“看来我得收回之前的话了,这家伙确实不简单!”
王大锤给顾枫开了一瓶红牛:“枫哥,能搞定吗?”
“问题不大!”
顾枫接过红牛喝了一口。
旁边维修师傅嗤笑道:“你就可劲儿吹吧,今天咱们同行都在商讨这个病毒,就连大学计算机专业的老师都没见过!”
顾枫继续喝着红牛,深邃的眼眸盯着电脑屏幕上CPU运行状况,淡淡说道:“这应该是一款加强版蠕虫病毒,结合了多态性和变形技术,病毒可以不断改变自身代码结构和特征,使其每次感染时呈现出不同的形态,如此一来,基于特征码的传统扫描工具就难以识别其固定特征!”
“常规的蠕虫病毒能自我复制并通过网络快速传播,大量占用网络资源和CPU功率,使得电脑运行缓慢,甚至出现电脑系统崩溃的症状,他们这款蠕虫病毒保留了部分特性,但并非通过网络传播,而是通过计费通启动!”
顾枫一边有理有据地分析病毒特性,一边操作电脑打开命令提示符,骨节分明的手指在键盘上敲出两串复杂的指令。
n etstat -ano?:显示所有活动的TCP连接和UDP端口,以及对应的进程ID。
tasklist /svc?:结合上述命令,通过进程ID查看对应进程的详细信息。
窗口跳出来网络连接与端口 活动信息,顾枫很快就发现了一些可疑的IP地址正与网吧电脑进行频繁且异常的数据交互。
顾枫下载了一款进程分析工具。
Process Explorer。
这是一款加强版任务管理器,能以树形图的形式展示进程,方便观察父子进程之间的关系,会以不同颜色标示不同状态的进程,可查看进程的详细信息,如启动进程时调用的命令和当前进程活动所在的文件夹等,还能查看文件正在被什么进程占用,以及实时监控系统的性能、获取进程的dump文件等。
顾枫运用这个工具对那些可疑进程进行深度剖析。
进程加载模块。
内存映射以及线程信息。
众网吧老板看着那些繁琐的操作都屏住了呼吸。
旁边的维修师傅也瞪着一双圆溜溜的眼睛死死盯着电脑屏幕。
一分钟!
两分钟!
三分钟!
“找到了…”
终于…
顾枫发现了一个伪装成系统关键进程的恶意模块。
而这个模块和计费通自启动的某个模块高度相似。
突如其来的声音吓得众人浑身一颤。
光头老板忙问道:“真是计费通的问题吗,可是我们不都已经卸载了吗?”
顾枫并未着急回道,而是用反汇编技术对恶意模块进行分析。
他逐行解读汇编代码,很快解读出了病毒核心逻辑和传播机制。
光头老板见顾枫对自己爱搭不理,满脸不悦道:“喂,我问你话呢?”
“别急!”
顾枫通过文件系统搜索功能,查找与这个病毒相关的其他文件,包括隐藏在系统深处的配置文件和恶意驱动程序。
StealthInfection.dll。
Stealth意为隐形,表明该病毒具有隐藏自身行踪和活动的能力。
Infection则明确表示感染的动作或状态,意味着它能够对系统或文件造成感染和破坏。
后缀‘.dll’是动态链接库(Dynamic Link Library)的文件扩展名,通常被程序调用以实现特定的功能。
顾枫在C盘,D盘,E盘里都找到了同名的文件,这些文件藏得极其隐晦,总数量多达三十九个。
“和我之前的设想差不多,计费通的用户端里植入了这款叫做隐形杀手的蠕虫病毒,正常的蠕虫病毒能自动通过网络传播,但计费通里的蠕虫病毒可以人为控制!”
顾枫眯着眼睛说道:“这是一个拥有母体的蠕虫病毒,源头应该在计费通中心服务器里!”
“草…找计费通去!”
光头老板勃然大怒,转身就要往外走。
“别急,先听听顾总怎么说吧!”
圆脸老头儿一把拽住齐德隆的胳膊,众网吧老板齐齐看向顾枫,那热切地眼神犹如看救命稻草。
“收集证据起诉计费通!”
顾枫淡淡说道:“他们必须承担病毒给你们网吧造成的经济损失,以及若枫网管的名誉损失!”
计费通是按年收费,目前还有许多网吧都使用这款计费软件,如果计费通倒闭,若枫网管的市场份额将会大幅度增长。
光头老板皱眉道:“顾总,咱们从没打过官司啊,这证据又该怎么收集呢?”
其余网吧老板也都丈二和尚摸不着头脑,虽然他们都是开网吧的,实际上对电脑一窍不通。
“这里太闷热了,我们换个地方聊吧!”
网吧空间太狭窄,顾枫被十几个人围着,空气不流通,呼吸都不太顺畅。
刚从座椅上站起来,九号机忽然蓝屏。
错误代码:0x0000007E。
圆脸老头一脸肉疼得叹气:“得,又坏一台!”
顾枫盯着电脑屏幕皱起了眉头。
0x0000007E这个蓝屏代码通常表示系统出了问题。
可能是某个系统文件损坏或丢失导致。
而造成这种情况的原因可能有多种。
例如病毒感染、新安装的软件或硬件驱动不兼容等。
紧跟着,电脑屏幕上又出现几串代码。
错误代码:0x0000000A。
错误代码:0x0000007E。
错误代码:0x00000050。
错误代码:0x0000008E。
“老板,电脑卡死啦!”
“卧槽,我的也卡了!”
“谁他妈在看片?”
“靠啊,我电脑死机了!”
网吧里的电脑全都出现故障。
圆脸老头儿顿时就慌了:“这…这这怎么回事?”
话音刚落,那些卡顿的电脑出现蓝屏。
每台电脑都跳动着十几串错误代码。
维修师傅眼珠子揉了揉眼睛,不敢置信道:“我嘞个亲娘啊,修了三年电脑,还从没看见过这样的场景!”
众网吧老板也都纷纷露出震惊与担忧,就连跟着顾枫那名警察都忍不住问道:“顾老板,现在是什么情况?”
顾枫深吸了一口气后缓缓开口解释:“这是病毒的自我销毁机制,当病毒察觉到被检测或即将被清除时就会触发自我销毁功能,自我销毁的过程会对系统造成混乱和破坏,引发各种故障,从而导致多个蓝屏代码出现,计费通在销毁证据!”