网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 病毒防护 > 文章  
熊猫烧香来源追查,从病毒行为中揭开冰山一角!
文章来源: cnBeta 文章作者: cnBeta 发布时间: 2007-01-25   字体: [ ]
 

  cnBeta Whboy(武汉男生)在98时代是很有名的国内病毒制造者,和广外女生相对,后来和同时代人销声匿迹。

  最近又有多个病毒流氓都代码里写着WhBOY,包括大名鼎鼎的熊猫烧香,流氓软件51VC,以及一些QQ/传奇密码盗窃木马,这些木马的代码、传播/爆发手法都极为相似,应该是同一人所为,但是不是早年的武汉男生,还很难说,我们把视线移到一个不起眼的站点上,在这里,我们可以找到一些答案……

  .VC 域名是国家顶级域名,属于圣文森特和格林纳丁斯,位于东加勒比海向风群岛中,在巴巴多斯以西约160公里处,由主岛圣文森特和格林纳丁斯岛等组成,为火山岛国。51.vc的网站上写着ICP证是:鲁ICP证005248号,这是一个伪造的ICP证,通过百度可以查到另一个网站www.51pm.org也是使用了这个伪造的ICP证,该网站已不能访问,但可以通过百度快照看到站点,其内容和51.vc完全一样。

  剩下的事就是找到51.vc或51pm.org注册者,就知道这些病毒的作者/幕后指使究竟是什么人了。

  臭名昭著的熊猫烧香俗称“武汉男生”

  这是最近的51VC反汇编,很明显,他们之间脱离不了干系。

  以下是流氓软件51.vc的相关动作,与熊猫烧香的行为几乎如出一辙。

  1.针对查杀熊猫最猛烈的超级巡警
  2.同样的文件名(GameSetup.exe),这点很明显,感染熊猫的共享木马下必有这个文件,杀软报的也就这个
  3.猜解字典一样
  4.Autorun模式一样

  每隔2秒改写一次主页:www.51.vc

  每隔6秒关闭以下服务:

Schedule
sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager

  删除以下注册表:

SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTask
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXP
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/kav
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/McAfeeUpdaterUI
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network Associates Error Reporting Service
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXE
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/YLive.exe( :D)
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse

  停止并删除以下服务:

RsCCenter
RsRavMon
KVWSC
KVSrvXP
AVP
kavsvc
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

  每隔20分钟弹出IE,地址:www.51.vc

  创建线程,关闭以下窗口:

VirusScan
NOD32

  系统配置实用程序

Symantec AntiVirus
Windows 任务管理器
esteem procs
System Safety Monitor
System Repair Engineer
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
pjf(ustc)
msctls_statusbar32
IceSword
天网防火墙
进程
网镖
杀毒
毒霸
瑞星
木马清道夫
注册表编辑器
Duba
卡巴斯基反病毒
绿鹰PC
木马辅助查找器
噬菌体
密码防盗
超级兔子
黄山IE
木馬清道夫
关闭以下程序:
Mcshieid.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

  使用以下弱密码探测共享并试图传自己为GameSetup.exe过去:

password
1234
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp
win
pc
asdf
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
Administrator
Guest
admin
Root

  把自己复制到:

/Documents and Settings/All Users/「开始」菜单/程序/启动/
/Documents and Settings/All Users/Start Menu/Programs/Startup/
/WINDOWS/Start Menu/Programs/Startup/
/WINNT/Profiles/All Users/Start Menu/Programs/Startup/

  连接:

http://www.ac86.cn/88/down/up.txt 其中包括熊猫烧香
http://update.whboy.net/ie.txt 已无法访问

  下载文件中的病毒程序

  每隔8秒死循环访问如下网站:

tom.com
163.com
souhu.com
google.com
yahoo.com

  每隔6秒向各盘根目录下释放如下文件

autorun.inf

  内容:

[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell/Auto/command=setup.exe
setup.exe(自己的安装exe)

  (参考链接: http://www.cnbeta.com/modules.php?name=News&file=article&sid=21465&cyPJ=wjylg1mN1Fa1)

 
推荐文章
·实测:熊猫烧香考验五大杀毒软件
·实测!NOD32真的没有登录前保护功
·17款杀毒软件测试:微软OneCare
·一盘在手杀毒无忧 DIY超完美杀毒
·看清手中的安全利器:五大杀毒引
·查杀exploit-dropper.1 table
·技术分析系列之详解来自Autorun
·病毒导致双击无法打开硬盘的解决
·小心 “Ajax”也能编写“熊猫烧
·AVAST杀毒软件
·时尚的免费杀毒软件Avast!超酷
·小心:中了熊猫烧香 谨慎重安系
·熊猫烧香病毒幕后黑手曝光 曾造2
·“熊猫烧香”病毒的病毒描述和发
 
 
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·最新的2006版AVAST中文
·wsctf.exe和EXPLORER.EX
·双击无法打开硬盘之COMM
·Adware.Roogoo 恶意广告
·警惕adware.Roogoo 恶性
·AVAST杀毒软件
·实测:熊猫烧香考验五大
·绝对值得一看的杀毒软件
相关分类
相关文章
·评论:“熊猫烧香”究竟
·共享成果:杀熊猫烧香10
·怎样预防“熊猫烧香”系
·熊猫烧香病毒分析与解决
·揭秘“熊猫烧香”肆虐内
·最牛、最全“熊猫烧香”
·“熊猫烧香”病毒的病毒
·详细解析U盘病毒、Autor
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $