詳細(xì)剖析熊貓燒香病毒及解決方案

C 變種版本

Author:LoveBoom

EMail:Loveboom@163.com

URL:www.Loveboom.net

一

【工具】:Olydbg1.1、IDA 5.0

【任務(wù)】:病毒分析以及解決方案

【操作平臺(tái)】:Windows 2003 server

【作者】: LoveBoom[DFCG][FCG][CUG]

【鏈接】:N/A

【簡(jiǎn)要說(shuō)明】:關(guān)于這個(gè)病毒，我想很多朋友都知道，這個(gè)病毒在2007 年初鬧的比較兇，很多朋友曾

經(jīng)中過(guò)這病毒。這次我給大家?guī)?lái)的文章就是講講這個(gè)病毒?？纯催@病毒到底是怎么回事，我們應(yīng)該怎么去處理這病毒。

【病毒分析】:

概要:這病毒我最早在10 月底時(shí)接觸，那時(shí)這病毒并沒有現(xiàn)在這樣流行(也許是病毒剛出來(lái)吧)。曾經(jīng)幾個(gè)月的發(fā)展，前幾天從同事那拿了幾個(gè)新變種看了會(huì)，發(fā)現(xiàn)病毒和早期的版本相差比較大。根據(jù)病毒的差異，我自己將病毒分為:ABCD 4 個(gè)變種。各變種的不同處如下:

A 病毒將自身復(fù)制為%System32%FuckJacks.exe,然后感染除特殊文件夾之外的文件夾中的可執(zhí)行文件。

B 病毒將自身復(fù)制為%System32%Driversspoclsv.exe,感染時(shí)在c 盤根目錄下生成感染標(biāo)記文件。

C 病毒不再感染用戶系統(tǒng)中的可執(zhí)行文件，而是感染用戶系統(tǒng)中的腳本病毒(這樣的危害更大)?在每個(gè)感染后的文件夾中寫下感染標(biāo)記文件。

D 感染用戶可執(zhí)行文件時(shí)不再使用A 和B 版本中的直接捆綁感染。用戶中毒后可執(zhí)行程序的圖標(biāo)不改變(a 和b 版本感染后可執(zhí)行文件的圖標(biāo)都變成熊貓燒香)。

今天我分析的就是C 版本(下次有空我將整理出A 版本的分析資料),小版本可能會(huì)有所不同，因此如果你發(fā)現(xiàn)你機(jī)器上的和我所述的相似但不完全一樣也是正常的。

中毒表象:以下幾個(gè)特征為中毒的表現(xiàn):

１、在系統(tǒng)中的每分區(qū)根目錄下存在setup.exe 和autorun.inf 文件(A 和B 盤不感染)。

２、無(wú)法手工修改"文件夾選項(xiàng)"將隱藏的文件顯示出來(lái)。

３、在每個(gè)感染后的文件夾中可見Desktop_.ini 長(zhǎng)度為12 字節(jié)的隱藏文件(這個(gè)和Viking 病毒一樣)。

４、機(jī)器上的所有腳本文件(*.htm?*.html?*.asp?*.php?*.js?*.aspx)中存在以下代碼:

'

５、中毒后機(jī)器上的常見反病毒軟件無(wú)法開啟和正常使用。

６、無(wú)法正常使用任務(wù)管理器、icesword 之類的系統(tǒng)檢測(cè)工具。

７、進(jìn)程中可以找到偽系統(tǒng)正常進(jìn)程的spoclsv.exe 病毒進(jìn)程。

８、系統(tǒng)自啟動(dòng)項(xiàng)中有病毒添加的注冊(cè)表自啟動(dòng)項(xiàng)。

９、無(wú)故的向外發(fā)包、連接局域網(wǎng)中的其它機(jī)器。