熊猫并未离去
新变种仍绵绵不绝。
spoclss.exe这个变种又有些有趣之处:
1、夹带不少马仔。每次中招,夹带的马仔均有变化。夹带的马仔中以WinDHCP.ocx较难对付。WinDHCP.ocx似乎模仿IceSword的驱动加载机制——加载CeInDrv.sys后,删除自身。增加中招后的查杀难度。
2、spoclss.exe样本(setup.exe、GameSetup.exe)感染系统前即为隐藏文件。
3、文件感染、关闭窗口等行为同前。但留给中招者结束spoclss.exe进程的时间更短。
4、开启1026至5000所有TCP端口。
5、中招后,用户依然可在cmd下通过IceSword.exe/c开启IceSword。用IceSword结束spoclss.exe进程时需“手急眼快”,手杀时更像一场游戏。
熊猫变种已经玩儿过十几个了。只要Tiny的防护规则设置恰当,感染熊猫后,系统原有文件(包括硬盘上的GHO文件)依然安然无恙。
