 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| 熊猫烧香病毒分析与解决方案 | |||||
作者:未知 文章来源:BBS.CnXHacker.Net 点击数: 更新时间:2007-1-11  |
|||||
|
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。 二、病毒基本情况: [文件信息] 病毒名: Virus.Win32.EvilPanda.a.ex$ 大 小: 0xDA00 (55808), (disk) 0xDA00 (55808) SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D 壳信息: 未知 危害级别:高 病毒名: Flooder.Win32.FloodBots.a.ex$ 大 小: 0xE800 (59392), (disk) 0xE800 (59392) SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D 壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24 危害级别:高 三、病毒行为: Virus.Win32.EvilPanda.a.ex$ : 1、病毒体执行后,将自身拷贝到系统目录: %SystemRoot%\system32\FuckJacks.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe" 2、添加注册表启动项目确保自身在系统重启动后被加载: 键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键名:FuckJacks 键值:"C:\WINDOWS\system32\FuckJacks.exe" 键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键名:svohost 键值:"C:\WINDOWS\system32\FuckJacks.exe" 3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。 C:\autorun.inf 1KB RHS C:\setup.exe 230KB RHS 4、关闭众多杀毒软件和安全工具。 5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。 6、刷新bbs.qq.com,某QQ秀链接。 7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。 Flooder.Win32.FloodBots.a.ex$ : 1、病毒体执行后,将自身拷贝到系统目录: %SystemRoot%\SVCH0ST.EXE %SystemRoot%\system32\SVCH0ST.EXE 2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载: 键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键名:Userinit 键值:"C:\WINDOWS\system32\SVCH0ST.exe" 3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。 配置文件如下: www.victim.net:3389 www.victim.net:80 www.victim.com:80 www.victim.net:80 1 1 120 50000 四、解决方案: 1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。 2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。 3、中止病毒进程和删除启动项目请看论坛相关图片。 版权所有:数据安全实验室 http://www.dswlab.com http://www.unnoo.com/ Copyright(c) DSW Lab All rights reserved 20070101增加的内容: 熊猫烧香病毒专题 转载请保留本站链接! 一、熊猫烧香有几个变种? 到目前为止,从大体上分,目前主要有四大变种,变种A我们已经分析,见本版,变种B的就是大家常说的spoclsv.exe进程,它藏的全路径是:% SystemRoot%\Drivers\spoclsv.exe,其它部分与变种A基本一致。变种C主要的改动是对抗杀毒软件,尤其是超级巡警的专杀,该专杀旧版本被360安全卫士内置到工具列表中。变种C通过查找窗口标题有超级巡警字样,即关闭该窗口,即使在桌面新建一个名为超级巡警的文本文件,用记事本打开也会被关闭。因此许多网友下载了旧版的专杀,抱怨打开就被关闭,同时熊猫烧香病毒还会关闭其它一些常见的进程管理的,比如常用的Windows任务管理器。对付这种变种的方法就是使用一个不被关闭的进程管理的,推荐使用X-PS,下载地址和使用说明:http://www.unnoo.com/html/research/2006/0718/29.html,关闭掉名为spoclsv.exe的进程。然后在使用巡警的专杀,当然也可以下载最新的超级巡警使用里面的专杀来查杀。 变种D是最近才出现的一个变种,该变种感染文件后图标不在是熊猫模样,当感染该变种会在临时目录发现100个图标文件。还有其它一些变种,基本都是为了躲避查杀进行修改和下载不同的后门的版本。 二、对系统的破坏: 熊猫烧香在感染的系统上,会关闭杀毒软件进程,删除杀毒软件的注册表项目,禁用杀毒软件的服务,修改资源管理器不显示隐藏文件等。 还会调用如下命令来删除共享: cmd.exe /c net share C$ /del /y cmd.exe /c net share D$ /del /y cmd.exe /c net share admin$ /del /y .... 旧变种会全面感染系统文件,新变种会感染除系统目录外的文件,即尽量不感染微软操作系统自身的文件。 新旧变种都会删除.gho,一般人会在安装完成系统后,使用Norton Ghost进行备份,熊猫会恶意删除这个备份文件。 其中一个变种还会在感染目录生成desktop_.ini。 最大的破坏是,熊猫烧香本身就是一种下载者,会在指定的网站下载后门、木马、各种盗号程序,甚至DDoS程序。 三、为什么无法清除干净,如何彻底查杀: 有人使用了超级巡警和巡警之熊猫专杀后,将一个机子杀干净了,但不久又发现感染了,这是因为,熊猫烧香在感染了一个系统后,开启一个单独的线程进行C类网络扫描感染,访问同网段的139/445端口,进行IPC$密码猜解和查找共享,并感染共享中的文件。这样只要网络内有一个机子还有存活的熊猫烧香病毒,就依然存在再次感染全网的可能。 许多朋友网络内都是有文件共享服务器,电影服务器,而许多网友的网络内的人都为了方便系统登录口令都是空口令,或者是123这样的简单口令。 局域网中有用户IE没有打补丁,浏览挂了熊猫烧香病毒的网站,在自己不知情的情况下感染。 查杀的办法是: 1、断开网络,使用超级巡警之熊猫烧香专杀,每个机子全面杀毒。 2、修改口令,取消本地共享目录。 3、查杀完成后使用超级巡警的补丁检查检查系统没有打的补丁,及时打上补丁,尤其是IE补丁。 被感染系统会比较慢,手动处理先终止掉进程,删除注册表项。如图:   |
|||||
| 文章录入:admin 责任编辑:admin | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 最新热点 | 最新推荐 | 相关文章 | ||
| 美国最大黑客盗窃案 美国密情 微软推新计划打击黑客帮助安 无ARP欺骗的嗅探技术 赛门铁克:谨防黑客借奥运发 瑞星公司07月03日发布 每日计 黑客入侵花旗银行ATM 窃取用 XSS漏洞另一个攻击趋势 “伪颗粒”变种后台秘密监视 灰鸽子变种NH远程控制用户偷 06月27日病毒播报 |
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
