病毒描述
含有病毒體的檔案被運行後,病毒將自身拷貝至系統目錄,
同時修改註冊表將自身設定為開機啟動項,並遍歷各個驅動器,將自身寫入磁碟根目錄下,增加一個 Autorun.inf檔案,
使得用戶打開該盤時激活病毒體。隨後病毒體開一個執行緒進行本地檔案感染,
同時開另外一個執行緒連線某網站下載ddos程式進行發動惡意攻擊。
病毒情況
[檔案信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
殼信息: 未知
危害級別:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害級別:高
病毒行為
Virus.Win32.EvilPanda.a.ex$ :
1、病毒體執行後,將自身拷貝到系統目錄:%SystemRoot%\system32\FuckJacks.exe
2、添加註冊表啟動項目確保自身在系統重啟動後被載入:
鍵路徑:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:FuckJacks
鍵值:"C:WINDOWS\system32\FuckJacks.exe"
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:svohost
鍵值:"C:WINDOWS\system32\FuckJacks.exe"
3、拷貝自身到所有驅動器根目錄,命名為Setup.exe,並生成一個autorun.inf使得用戶打開該盤運行病毒,並將這兩個檔案屬性設定為隱藏、唯讀、系統。
C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS
4、關閉眾多防毒軟體和安全工具。
5、連線*****.3322.org下載某檔案,並根據該檔案記錄的地址,去www.****.com下載某ddos程式,下載成功後執行該程式。
6、刷新bbs.qq.com,某QQ秀連結。
7、循環遍歷磁碟目錄,感染檔案,對關鍵系統檔案跳過,不感染Windows媒體播放器、MSN、IE 等程式。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒體執行後,將自身拷貝到系統目錄:
%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE
2、該病毒後下載運行後,添加註冊表啟動項目確保自身在系統重啟動後被載入:
鍵路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵名:Userinit
鍵值:"C:WINDOWS\system32\SVCH0ST.exe"
3、連線ddos2.****.com,獲取攻擊地址列表和攻擊配置,並根據配置檔案,進行相應的攻擊。
配置檔案如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
解決方案
1、使用超級巡警可以完全清除此病毒和恢復被感染的檔案。
2、推薦在清除時先使用超級巡警的進程管理工具結束病毒程式,否則系統回響很慢。
3、中止病毒進程和刪除啟動項目請看論壇相關圖片。
