分享我们的因特生活

熊猫烧香病毒分析与解决方案(转)

2007-01-09

这几天单位和客户的好多电脑被一个烧香的熊猫所困扰,知道是熊猫烧香病毒,杀毒软件对它无可奈何,根本就是视而不见,下载了许多专杀工具也是无济于事。

今天看到了数据安全实验室的这篇文章,先收藏起来,一起来研究对策。

一、病毒描述:

含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况:

[文件信息]

病毒名: Virus.Win32.EvilPanda.a.ex$

大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)

SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D

壳信息: 未知

危害级别:高

病毒名: Flooder.Win32.FloodBots.a.ex$

大 小: 0xE800 (59392), (disk) 0xE800 (59392)

SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D

壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24

危害级别:高

三、病毒行为:

Virus.Win32.EvilPanda.a.ex$ :

1、病毒体执行后,将自身拷贝到系统目录:

%SystemRoot%\system32\FuckJacks.exe

2、添加注册表启动项目确保自身在系统重启动后被加载:

键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键名:FuckJacks

键值:"C:WINDOWS\system32\FuckJacks.exe"

键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键名:svohost

键值:"C:WINDOWS\system32\FuckJacks.exe"

3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。

C:autorun.inf 1KB RHS

C:setup.exe 230KB RHS

4、关闭众多杀毒软件和安全工具。

5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。

6、刷新bbs.qq.com,某QQ秀链接。

7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。

Flooder.Win32.FloodBots.a.ex$ :

1、病毒体执行后,将自身拷贝到系统目录:

%SystemRoot%\SVCH0ST.EXE

%SystemRoot%\system32\SVCH0ST.EXE

2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:

键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键名:Userinit

键值:"C:WINDOWS\system32\SVCH0ST.exe"

3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。

配置文件如下:

www.victim.net:3389

www.victim.net:80

www.victim.com:80

www.victim.net:80

1

1

120

50000

四、解决方案:

1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。

2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。

3、中止病毒进程和删除启动项目请看论坛相关图片。

转自:数据安全实验室 http://www.dswlab.com

关键词:

熊猫烧香病毒分析与解决方案(转):目前有0 条留言

发表留言

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。