警惕―VB版“熊猫烧香”

样本来至卡饭，VB写的“熊猫烧香”.......

 

文件名称：SETUP.EXE

文件大小：15851 byte

AV命名：Virus.Win32.VB.dv（卡吧斯基）

依赖平台：Windows（9X以上系统）

加壳方式：MEW 11 1.2

编写语言：Microsoft Visual Basic 5.0 / 6.0

病毒类型：Virus.Win32

文件MD5：73d6fd3e3f75f5bf973b59933a13d3fb

传播方式：网络，文件。

 

病毒行为：

 

1、释放病毒副本：

 

%systemroot%\system32\DRIVERS\WINLOGON.EXE

%systemroot%\system32\DRIVERS\Services.exe

 

查找可以用的磁盘，并在其目录下生成：Autorun.inf和Setup.exe

 

Autorun.inf内容：

 

[AutoRun]
OPEN=SETUP.EXE -0
Shell\Open=打开(&O)
Shell\Open\Command=SETUP.EXE -O
Shell\Explore=资源管理器(&X)
Shell\Explore\Command="SETUP.EXE -E"

 

2、修改.msi、.reg、.vbs文件关联，成：

 

txtfile

即文本格式。

 

3、破坏显示隐藏文件：

 

…………\Folder\Hidden\SHOWALL\CheckedValue

 

值修改为0

4、禁用注册表、任务管理器、CMD等（未实现）：

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
NoFind = REG_DWORD, 1

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr
DisableTaskMgr = REG_DWORD, 1

 

上面工作都是由常驻进程%systemroot%\system32\DRIVERS\WINLOGON.EXE完成的。

 

Services.exe则负责“感染”（牵强了点）

 

5、Services.exe释放Autorun.inf、Setup.exe后开始工作。

 

首先跳过系统文件夹和DOCUMENTS AND SETTINGS目录、COMMAND.COM、NTDETECT.COM文件。

后查找所有文件夹和文件，并在其目录生成原病毒文件。（非覆盖）

例如：Winnt(文件夹)―Winnt.exe Winrar.rar(文件）―Winrar.rar.exe（病毒文件）

 

如遇到下列扩展名则删除：

".SCF"

".KXP"

".PIF"

".BAK"

".BIN"

".CAB"

".GHO"（汗``）

".IMG"

".ISO"

".MSI"

".REG"

".VBS"

 

6、在“感染”过的文件夹目录生成System.ini，为当天的感染标记

 

（避免反复感染）

 

解决方法：

 

推荐：升级下杀软，就可以全部杀了。

 

手工清除：

 

下载冰刃和SReng：

 

[url]http://gudugengkekao.ys168.com/[/url]

 

1、冰刃删除：

 

%systemroot%\system32\DRIVERS\WINLOGON.EXE

%systemroot%\system32\DRIVERS\Services.exe

和每个分区下的Autorun.inf、Setup.exe

 

2、SREng删除：

 

注册表：

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
     <load><C:\winnt\system32\DRIVERS\WINLOGON.EXE>   []

 

并修复文件关联。

 

3、打开所有文件夹，挨个删病毒吧``=。=

 

（用杀软会比较快）