网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 病毒防护 > 技巧 > 文章  
熊猫烧香病毒分析与解决方案
文章来源: killer (killeruid0.net) 文章作者: 发布时间: 2006-11-20   字体: [ ]
 

  一、病毒描述:

  含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

  二、病毒基本情况:

  [文件信息]

  病毒名: Virus.Win32.EvilPanda.a.ex$
  大  小: 0xDA00 (55808), (disk) 0xDA00 (55808)
  SHA1  : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
  壳信息: 未知
  危害级别:高

  病毒名: Flooder.Win32.FloodBots.a.ex$
  大  小: 0xE800 (59392), (disk) 0xE800 (59392)
  SHA1  : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
  壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
  危害级别:高

  三、病毒行为:

  Virus.Win32.EvilPanda.a.ex$ :

  1、病毒体执行后,将自身拷贝到系统目录:

%SystemRoot%\system32\FuckJacks.exe

  2、添加注册表启动项目确保自身在系统重启动后被加载:

  键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  键名:FuckJacks
  键值:"C:WINDOWS\system32\FuckJacks.exe"

  键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  键名:svohost
  键值:"C:WINDOWS\system32\FuckJacks.exe"

  3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。

C:autorun.inf    1KB    RHS
C:setup.exe    230KB    RHS

  4、关闭众多杀毒软件和安全工具。
  5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
  6、刷新bbs.qq.com,某QQ秀链接。
  7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。

  Flooder.Win32.FloodBots.a.ex$ :

  1、病毒体执行后,将自身拷贝到系统目录:

%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE

  2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:

  键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  键名:Userinit
  键值:"C:WINDOWS\system32\SVCH0ST.exe"

  3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。

  配置文件如下:

www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000

  四、解决方案:

  1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
  2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
  3、中止病毒进程和删除启动项目请看论坛相关图片。

  版权所有:数据安全实验室
  http://www.dswlab.com
  http://www.unnoo.com
  Copyright(c) DSW Lab All rights reserved

  (参考链接: http://www.dswlab.com/vir/v20061119.html)

 
推荐文章
·一盘在手杀毒无忧 DIY超完美杀毒
·查杀exploit-dropper.1 table
·病毒导致双击无法打开硬盘的解决
·wsctf.exe和EXPLORER.EXE的查杀
 
 
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·wsctf.exe和EXPLORER.EX
·双击无法打开硬盘之COMM
·病毒导致双击无法打开硬
·一盘在手杀毒无忧 DIY超
·查杀exploit-dropper.1
·共享成果:杀熊猫烧香10
·超级简单小方法帮你有效
·走出误区 教你杀毒软件
相关分类
相关文章
·共享成果:杀熊猫烧香10
·评论:“熊猫烧香”究竟
·熊猫烧香来源追查,从病
·最牛、最全“熊猫烧香”
·怎样预防“熊猫烧香”系
·wsctf.exe和EXPLORER.EX
·详细解析U盘病毒、Autor
·揭秘“熊猫烧香”肆虐内
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $