当前位置:首页  服务指南

熊猫烧香变种病毒的原理

发布时间:2017-02-06     作者:系统管理员     浏览:69


超级巡警熊猫烧香专杀工具是目前唯一一款可以查杀所有熊猫烧香变种病毒的工具,实现检测和清除、修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前所有的熊猫烧香病毒家族和相关变种。
    Killer (killer<2>uid0.net)
    Date:2006-11-20
    
    一、病毒描述:
     含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
    二、病毒基本情况:
    [文件信息]
    病毒名: Virus.Win32.EvilPanda.a.ex$
    大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
    SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
    壳信息: 未知
    危害级别:高
    病毒名: Flooder.Win32.FloodBots.a.ex$
    大 小: 0xE800 (59392), (disk) 0xE800 (59392)
    SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
    壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
    危害级别:高
    三、病毒行为:
    Virus.Win32.EvilPanda.a.ex$ :
    1、病毒体执行后,将自身拷贝到系统目录:
    %SystemRoot%\system32\FuckJacks.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
    2、添加注册表启动项目确保自身在系统重启动后被加载:
    键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    键名:FuckJacks
    键值:"C:\WINDOWS\system32\FuckJacks.exe"
    键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    键名:svohost
    键值:"C:\WINDOWS\system32\FuckJacks.exe"
    3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
    C:\autorun.inf 1KB RHS
    C:\setup.exe 230KB RHS
    4、关闭众多杀毒软件和安全工具。
    5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
    6、刷新bbs.qq.com,某QQ秀链接。
    7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
    Flooder.Win32.FloodBots.a.ex$ :
    1、病毒体执行后,将自身拷贝到系统目录:
    %SystemRoot%\SVCH0ST.EXE
    %SystemRoot%\system32\SVCH0ST.EXE
    2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
    键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    键名:Userinit
    键值:"C:\WINDOWS\system32\SVCH0ST.exe"
    3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
    配置文件如下:
    www.victim.net:3389
    www.victim.net:80
    www.victim.com:80
    www.victim.net:80
    1
    1
    120
    50000
    “熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
    %System%\drivers\spoclsv.exe
    创建启动项:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "svcshare"="%System%\drivers\spoclsv.exe"
    
    修改注册表信息干扰“显示所有文件和文件夹”设置:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000000
    
    在各分区根目录生成副本:
    X:\setup.exe
    X:\autorun.inf
    autorun.inf内容:
    [AutoRun]
    OPEN=setup.exe
    shellexecute=setup.exe
    shell\Auto\command=setup.exe
    
    尝试关闭下列窗口:
    QQKav
    QQAV
    VirusScan
    Symantec AntiVirus
    Duba
    Windows
    esteem procs
    System Safety Monitor
    Wrapped gift Killer
    Winsock Expert
    msctls_statusbar32
    pjf(ustc)
    IceSword
    结束一些对头的进程:
    Mcshield.exe
    VsTskMgr.exe
    naPrdMgr.exe
    UpdaterUI.exe
    TBMon.exe
    scan32.exe
    Ravmond.exe
    CCenter.exe
    RavTask.exe
    Rav.exe
    Ravmon.exe
    RavmonD.exe
    RavStub.exe
    KVXP.kxp
    KvMonXP.kxp
    KVCenter.kxp
    KVSrvXP.exe
    KRegEx.exe
    UIHost.exe
    TrojDie.kxp
    FrogAgent.exe
    Logo1_.exe
    Logo_1.exe
    Rundl132.exe
    禁用一系列服务:
    Schedule
    sharedaccess
    RsCCenter
    RsRavMon
    RsCCenter
    RsRavMon
    KVWSC
    KVSrvXP
    kavsvc
    AVP
    McAfeeFramework
    McShield
    McTaskManager
    navapsvc
    wscsvc
    KPfwSvc
    SNDSrvc
    ccProxy
    ccEvtMgr
    ccSetMgr
    SPBBCSvc
    Symantec Core LC
    NPFMntor
    MskService
    FireSvc
    删除若干安全软件启动项信息:
    RavTask
    KvMonXP
    kav
    KAVPersonal50
    McAfeeUpdaterUI
    Network Associates Error Reporting Service
    ShStatEXE
    YLive.exe
    yassistse
    使用net share命令删除管理共享:
    net share X$ /del /y
    net share admin$ /del /y
    net share IPC$ /del /y
    
    遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
    X:\WINDOWS
    X:\Winnt
    X:\System Volume Information
    X:\Recycled
    %ProgramFiles%\Windows NT
    %ProgramFiles%\WindowsUpdate
    %ProgramFiles%\Windows Media Player
    %ProgramFiles%\Outlook Express
    %ProgramFiles%\Internet Explorer
    %ProgramFiles%\NetMeeting
    %ProgramFiles%\Common Files
    %ProgramFiles%\ComPlus Applications
    %ProgramFiles%\Messenger
    %ProgramFiles%\InstallShield Installation Information
    %ProgramFiles%\MSN
    %ProgramFiles%\Microsoft Frontpage
    %ProgramFiles%\Movie Maker
    %ProgramFiles%\MSN Gamin Zone
    将自身捆绑在被感染文件前端,并在尾部添加标记信息:
    .WhBoy{原文件名}.exe.{原文件大小}.
    
    与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
    另外还发现病毒会覆盖少量exe,删除.gho文件。
    病毒还尝试使用弱密码访问局域网内其它计算机:
    password
    harley
    golf
    pussy
    mustang
    shadow
    fish
    qwerty
    baseball
    letmein
    ccc
    admin
    abc
    pass
    passwd
    database
    abcd
    abc123
    sybase
    123qwe
    server
    computer
    super
    123asd
    ihavenopass
    godblessyou
    enable
    alpha
    1234qwer
    123abc
    aaa
    patrick
    pat
    administrator
    root
    sex
    god
    foobar
    secret
    test
    test123
    temp
    temp123
    win
    asdf
    pwd
    qwer
    yxcv
    zxcv
    home
    xxx
    owner
    login
    Login
    love
    mypc
    mypc123
    admin123
    mypass
    mypass123
    Administrator
    Guest
    admin
    Root
    清除步骤
    ==========
    1. 断开网络
    2. 结束病毒进程
    %System%\drivers\spoclsv.exe
    3. 删除病毒文件:
    %System%\drivers\spoclsv.exe
    4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
    X:\setup.exe
    X:\autorun.inf
    5. 删除病毒创建的启动项:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "svcshare"="%System%\drivers\spoclsv.exe"
    6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000001
    7. 修复或重新安装反病毒软件
    8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
    四、解决方案:
    1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
    2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
    3、中止病毒进程和删除启动项目请看论坛相关图片。