【警告】P2P-Worm.Win32.Polipos.a 横袭!!!目前无法彻底解决
发现卡卡还没人提到这个,转贴一下,希望大家注意
Author: killer (killer<2>xfocus.org)
Date:2006-4-22
危险级别:
★★★★一、病毒描述:
近日,一种新的P2P蠕虫现身网络,该蠕虫不仅仅依靠P2P网络(Gnutella)传播,而且该蠕虫病毒没有实体文件,感染Windows可执行程序,采用EPO(Entry-Point Obscuring)技术对抗启发式扫描,不修改原文件入口点,病毒自带多态/变形引擎,确保每一次感染文件后病毒体均不相同。二、病毒行为:
1、感染后的载体文件运行后,病毒代码将插入除下列列表的所有系统活动进程:
csrss
dumprep
drwtsn32
smss
spoolsv
ctfmon
...
2、启动可执行文件感染模块进行感染。
3、启动P2P网络感染模块感染。
4、删除部分反病毒产品的相关程序和文件:
antivir.dat
lguard.vps
...
5、不感染大多数的反病毒产品文件、EXE Packer主程序,和包括如下字符串的文件:
anti
ida
retina
virus
firewall
debug
root
hunter
hack
webroot
iss
proxy
disasm
...
注:自解压的包裹文件被感染后(包括安装程序)将遭到病毒覆盖。
三、清除办法:
目前,只有
Dr.Web可以对付此病毒,其他大多数杀毒厂商对此病毒尚无有效处理方案,但都已经包含了对该病毒的检测,遗憾的是,由于该病毒的加密变形引擎,使得多数杀软检测到病毒后采用的临时清除方案是删除染毒文件。
这对于重要的文件感染了病毒后将是个灾难,
在杀毒厂商没有提供有效处理方案之前,强烈建议用户开启反病毒产品的监控,预防病毒传播到本机。 对于已经感染的重要程序文件,可以采用手动恢复的办法临时处理:
1、利用PE工具删除病毒增加的区段,同时进行PE校验和修复。
2、利用调试工具载入该文件,定位到调用病毒区段代码,结合上下文代码进行手动代码修复,例:
被病毒破坏的代码:
010061DC . FF75 08 PUSH DWORD PTR SS:[EBP+8]
010061DF E8 2FDD0500 CALL 002.01063F13
010061E4 . 01EB ADD EBX,EBP
010061E6 . 32E8 XOR CH,AL
修复代码:
010061DC |. FF75 08 PUSH DWORD PTR SS:[EBP+8]
010061DF |. FF15 E8130001 CALL DWORD PTR DS:[<&USER32.DefWindowProcW>] ; \DefWindowProcW
010061E5 |. EB 32 JMP SHORT 01006219
010061E7 |> E8 551B0000 CALL 01007D41 ; Case 401 (WM_USER+1) of switch
来自动物家园
http://www.kingzoo.com/bbs/read.php?tid=2714
