熊猫烧香病毒分析与专杀工具

先看看专业分析:
Jacks.exe setup.exe 熊猫烧香 尼姆亚 解决方案
档案编号:CISRT2006078
病毒名称:Trojan-PSW.Win32.QQRob.ec(Kaspersky)
病毒别名:Worm.Nimaya.a[尼姆亚](瑞星)
病毒大小:30,465 字节
加壳方式:FSG
样本MD5:2a6ad4fb015a3bfc4acc4ef234609383
样本SHA1:bd2499c1bcddc5a55c87510730e6e826f7dac9bc
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播

技术分析
==========
exe主程序使用白底熊猫烧香图标,运行后复制自身到系统目录:
%System%/非法词语 被系统自动过滤Jacks.exe
创建自启动项:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"非法词语 被系统自动过滤Jacks"="%System%/非法词语 被系统自动过滤Jacks.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"svohost"="%System%/非法词语 被系统自动过滤Jacks.exe"
在各分区根目录创建副本:
X:/autorun.inf
X:/setup.exe
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell/Auto/command=setup.exe
尝试删除隐藏管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
尝试结束进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl123.exe
关闭窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
iDuba
esteem procs
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
删除启动项:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
禁用服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
遍历目录,感染除系统目录外其它目录中的exe文件,将自身捆绑在exe文件前端,并在尾部添加标记信息:
QUOTE:WhBoy{原文件名}.exe.{原文件大小}.
被感染exe运行后释放前端病毒文件到%System%/非法词语 被系统自动过滤Jacks.exe,并使用bat批处理将后边原始exe文件“还原”,bat批处理内容:
:try1
del "file.exe"
if exist "file.exe" goto try1
ren "file.exe.exe" "file.exe"
if exist "file.exe.exe" goto try2
"file.exe"
:try2
del %0
这个环节和Viking类似
病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
~
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
病毒体内包含文字:
xXx_WhBoy_Worm
xXx_WhBoy

清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%/非法词语 被系统自动过滤Jacks.exe
3. 删除病毒文件:
%System%/非法词语 被系统自动过滤Jacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:/autorun.inf
X:/setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"非法词语 被系统自动过滤Jacks"="%System%/非法词语 被系统自动过滤Jacks.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"svohost"="%System%/非法词语 被系统自动过滤Jacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件

 

下载地址:

http://www.dswlab.com/dow/d2.html

此工作室还有许多相关的安全工具,不错的!

 

你可能感兴趣的:(熊猫烧香病毒分析与专杀工具)