介紹
尼姆亞病毒“熊貓燒香”,很厲害的~~最近病毒猖獗~~我朋友先後中了N個病毒~~rose病毒太厲害~~變異太快了~~最近新出現一種病毒~~熊貓燒香~~可以看看這個
【CISRT2006078】FuckJacks.exe setup.exe 熊貓燒香 尼姆亞 解決方案
【size=14px】檔案編號:CISRT2006078
病毒名稱:Trojan-PSW.Win32.QQRob.ec(Kaspersky)
病毒別名:Worm.Nimaya.a【尼姆亞】(瑞星)
病毒大小:30,465 位元組
加殼方式:FSG
樣本MD5:2a6ad4fb015a3bfc4acc4ef234609383
樣本SHA1:bd2499c1bcddc5a55c87510730e6e826f7dac9bc
發現時間:2006.11
更新時間:2006.11
關聯病毒:
傳播方式:通過惡意網頁傳播,其它木馬下載,可通過區域網路、移動存儲設備等傳播
技術分析
技術分析==========
exe主程式使用白底熊貓燒香圖示,運行後複製自身到系統目錄:
%System%\FuckJacks.exe
創建自啟動項:
【/size】
【size=14px】【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run】
"FuckJacks"="%System%\FuckJacks.exe"
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"svohost"="%System%\FuckJacks.exe"【/size】
【size=14px】
在各分區根目錄創建副本:
X:\autorun.inf
X:\setup.exe
autorun.inf內容:
【/size】
【size=14px】【AutoRun】
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe【/size】
【size=14px】
嘗試刪除隱藏管理共享:
【/size】
【size=14px】net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y【/size】
【size=14px】
嘗試結束進程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl123.exe
關閉視窗:
QQKav
QQAV
VirusScan
Symantec AntiVirus
iDuba
esteem procs
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
刪除啟動項:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
禁用服務:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
遍歷目錄,感染除系統目錄外其它目錄中的exe檔案,將自身捆綁在exe檔案前端,並在尾部添加標記信息:
【/size】
【size=14px】QUOTE:【/size】
【size=14px】WhBoy{原檔案名稱}.exe.{原檔案大小}.【/size】
【size=14px】
被感染exe運行後釋放前端病毒檔案到%System%\FuckJacks.exe,並使用bat批處理將後邊原始exe檔案“還原”,bat批處理內容:
【/size】
【size=14px】:try1
del "file.exe"
if exist "file.exe" goto try1
ren "file.exe.exe" "file.exe"
if exist "file.exe.exe" goto try2
"file.exe"
:try2
del %0【/size】
【size=14px】
這個環節和Viking類似。
病毒還嘗試使用弱密碼訪問區域網路內其它計算機:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
病毒體內包含文字:
xXx_WhBoy_Worm
xXx_WhBoy
清除步驟
==========
1. 斷開網路
2. 結束病毒進程
%System%\FuckJacks.exe
3. 刪除病毒檔案:
%System%\FuckJacks.exe
4. 右鍵點擊分區盤符,點擊右鍵選單中的“打開”進入分區根目錄,刪除根目錄下的檔案:
X:\autorun.inf
X:\setup.exe
5. 刪除病毒創建的啟動項:
【/size】
【size=14px】【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run】
"FuckJacks"="%System%\FuckJacks.exe"
【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】
"svohost"="%System%\FuckJacks.exe"【/size】
【size=14px】
6. 修復或重新安裝反病毒軟體
7. 使用反病毒軟體或專殺工具進行全盤掃描,清除恢復被感染的exe檔案【/size】
【size=14px】 【/size】
【size=14px】 【/size】
【size=14px】 【/size】
【size=14px】【CISRT2006081】熊貓燒香變種 spoclsv.exe 解決方案【url=http://www.cisrt.org/bbs/viewthread.php?tid=539&;extra=page%3D1】【color=#800080】http://www.cisrt.org/bbs/viewthread.php?tid=539&;extra=page%3D1【/color】【/size】
【size=14px】
【/size】