|
|
楼主 |
发表于 2006-12-22 12:11:05
|
显示全部楼层
[B]熊猫烧香病毒分析与解决方案[/B]
熊猫烧香病毒11月快速蔓延,至今已经出现了十几个变种。可见其破坏范围之广!
一、病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
二、病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\system32\FuckJacks.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:FuckJacks
键值:"C:\WINDOWS\system32\FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:svohost
键值:"C:\WINDOWS\system32\FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:\autorun.inf 1KB RHS
C:\setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
查找反病毒窗体病毒结束相关进程:
程序代码
qqkav
qqav
天网
VirusScan
网镖
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
symantec antivirus
iduba
qq病毒
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
wrapped gift killer
winsock expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
结束以下进程:
程序代码
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl123.exe
禁用下列服务:
程序代码
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
删除下列注册表项:
程序代码
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse
感染所有EXE、SCR、PIF、COM文件,并更改图标为烧香熊猫。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
删除*.gho文件.
在所有驱动器根目录建立自身文件副本setup.exe,建立autorun.inf文件使病毒自动运行,设置文件属性为隐藏、只读、系统.
autorun.inf内容:
程序代码
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
保存QQ密码和键盘信息到c:\test.txt
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:Userinit
键值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000 |
|
狗仔卡
发表于 2006-12-22 11:51:11
提升卡
置顶卡
变色卡
恢复卡
发表于 2006-12-22 12:02:02