熊猫烧香变种worm.win32.fujacks.kat
worm.win32.fujacks.kat
捕获时间
2009-1-20
病毒摘要
该样本是使用“delphi”编写的熊猫烧香变种,由微点主动防御软件自动捕获,采用“aspack”加壳方式试图躲避特征码扫描,加壳后长度为 “295,166字节”,图标采用被感染文件的图标,使用“exe”扩展名,通过“网页木马”、“文件捆绑”、“移动存储介质”、“局域网”等途径植入用户计算机,运行后下载其他木马到本地运行。
感染对象
windows 2000/windows xp/windows 2003
传播途径
网页木马、文件捆绑、移动存储介质、局域网
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"worm.win32.fujacks.kat”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭u盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取ag旗舰厅首页的技术支持。
4、开启windows自动更新,及时打好漏洞补丁。
病毒分析
该样本程序被执行后,读取自身释放出感染前的正常文件---ufreader.exe到当前目录下,名称为记录在文件末尾处的感染信息中的欲创建文件名字“ufreader.exe.exe”,并调用在目录%temp%\下创建的随机名称批处理文件,等待样本程序进程结束后,进行对样本的删除并恢复感染前的正常文件,恢复后进行调用运行实现样本运行过程的隐藏,批处理文件内容如下:
|
:try1
del "c:\感染后的正常文件名"
if exist "c:\感染后的正常文件名" goto try1
ren "c:\感染后的正常文件名.exe" "感染后的正常文件名"
if exist "感染后的正常文件名.exe" goto try2
"感染后的正常文件名"
:try2
del %0 |
|
尝试删除目录%systemroot%\system32\drivers\下“txplatform.exe”文件,并释放病毒衍生物“txplatform.exe”文件,成功后调用运行“txplatform.exe”开启一个新的进程并结束样本自身进程。
“txplatform.exe”进程启动后,释放名为“z.tmp”的文件到目录%systemdrive%\下,并经过指定的解密创建“z1.tmp”名称文件,创建下列“ressdt”服务:
|
项:
hklm\system\currentcontrolset\services\ressdt
键值:displayname
指向数据:ressdt
健值:imagepath
指向数据:%systemdrive %\z1.tmp |
|
服务创建成功后调用此服务,驱动加载后恢复系统ssdt表,解除计算机部分杀软的主动防御,达到自身保护的目的,成功后关闭此服务,并将此服务与“z1.tmp”、“z.tmp”文件进行删除,实现对恢复系统ssdt表模块的隐藏。
遍历查找下列指定进程,找到后尝试关闭该进程:
尝试打开下列服务,一旦成功打开便尝试对该服务进行下列的停止或删除操作:
|
“schedule” 停止服务
“sharedaccess” 停止服务
“kavsvc” 停止服务
“kavsvc” 删除服务
“avp” 停止服务
“avp” 删除服务
“mcafeeframework” 停止服务
“mcafeeframework” 删除服务
“mcshield” 停止服务
“mctaskmanager” 停止服务
“mctaskmanager” 删除服务
“mcshield” 删除服务
“navapsvc” 删除服务
“wscsvc” 删除服务
“kpfwsvc” 删除服务
“sndsrvc” 删除服务
“ccproxy” 删除服务
“ccevtmgr” 删除服务
“ccsetmgr” 删除服务
“spbbcsvc” 删除服务
“symantec core lc” 删除服务
“npfmntor” 删除服务
“mskservice” 删除服务
“firesvc” 删除服务
“rsccenter” 停止服务
“rsccenter” 删除服务
“rsravmon” 停止服务
“rsravmon” 删除服务 |
|
遍历查找包含下列文字的窗口,一旦找到便终止该进程:
|
winsock expert
comnview
smartsniff
sniff
capturenet
spinet
dsniff
嗅探
抓包 |
|
修改注册表去除隐藏文件和文件夹属性,实现自身隐藏目的:
|
项:
hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
键值:checkedvalue
数据:0 |
|
删除系统启动项hklm\software\microsoft\windows\currentversion\run下指定安全软件的启动项键值,实现指定安全软件不能随机启动:
|
键值:
kav
kavpersonal50
avp
mcafeeupdaterui
network associates error reporting service
shstatexe |
|
在注册表hklm\software\microsoft\windows nt\currentversion\image file execution options\下添加下列项,达到劫持大部分安全软件的目的:
|
360hotfix.exe
360rpt.exe
360safe.exe
360safebox.exe
360tray.exe
agentsvr.exe
apvxdwin.exe
ast.exe
avcenter.exe
avengine.exe
avgnt.exe
avguard.exe
avltmain.exe
avp.exe
avp32.exe
avtask.exe
bdagent.exe
bdwizreg.exe
boxmod.exe
ccapp.exe
ccenter.exe
ccevtmgr.exe
ccregvfy.exe
ccsetmgr.exe
egui.exe
ekrn.exe
extdb.exe
frameworkservice.exe
frwstub.exe
guardfield.exe
iparmor.exe
kaccore.exe
kasmain.exe
kav32.exe
kavstart.exe
kavsvc.exe
kavsvcui.exe
kislnchr.exe
kissvc.exe
kmailmon.exe
knownsvr.exe
kpfw32.exe
kpfwsvc.exe
kregex.exe
kvfw.exe
kvmonxp.exe
kvmonxp.kxp
kvol.exe
kvprescan.exe
kvsrvxp.exe
kvwsc.exe
kvxp.kxp
kwatch.exe
livesrv.exe
makereport.exe
mcdash.exe
mcdash.exe
mcdetect.exe
mcdash.exe
mcshield.exe
mctskshd.exe
mcvsescn.exe
mcvsshld.exe
mghtml.exe
naprdmgr.exe
navapsvc.exe
navapw32.exe
navw32.exe
nmain.exe
nod32.exe
nod32krn.exe
nod32kui.exe
npfmntor.exe
oasclnt.exe
pavsrv51.exe
pfw.exe
psctrls.exe
psimreal.exe
psimsvc.exe
qqdoctormain.exe
ras.exe
ravmon.exe
ravmond.exe
ravstub.exe
ravtask.exe
rfwcfg.exe
rfwmain.exe
rfwproxy.exe
rfwsrv.exe
rsagent.exe
rsmain.exe
rsnetsvr.exe
rssafety.exe
safebank.exe
scan32.exe
scanfrm.exe
sched.exe
seccenter.exe
secnotifier.exe
setupld.exe
shstat.exe
smartup.exe
sndsrvc.exe
spbbcsvc.exe
symlcsvc.exe
tbmon.exe
uihost.exe
ulibcfg.exe
updaterui.exe
uplive.exe
vcr32.exe
vcrmon.exe
vptray.exe
vsserv.exe
vstskmgr.exe
webproxy.exe
xcommsvr.exe
xnlscn.exe
键值均为:debugger
数据均指向:ntsd -d |
|
添加注册表启动项,达到开机自启动目的:
|
项:
hkcu\software\microsoft\windows\currentversion\run
键值:explorer
数据:%systemroot%\system32\drivers\txplatform.exe |
|
遍历查找除下列指定的文件夹外的所有“.exe”,“.scr”,“.com”,“.pif”文件,找到后,读取文件取得文件图标后到目录%temp%\下创建为该随机名称的图标,拷贝自身替换文件,读取创建的图标把拷贝过来的文件替换为原文件的图标,并把原文件与感染信息写入,并尝试调用“winrar.exe”的相关指令感染压缩包内的文件,实现破坏用户文件资料与自身的自我保护,并在感染过的文件夹下,创建一个记录感染日期的名为“ desktop_1.ini”的文件,并修改属性为“只读”、“隐藏”与“系统”。
|
windows
winrar
winnt
system32
documents and settings
system volume information
recycled
windows nt
windowsupdate
windows media player
outlook express
internet explorer
netmeeting
common files
complus applications
common files
messenger
installshield installation information
msn
microsoft frontpage
movie maker
msn gamin zone |
|
并遍历查找“.htm”, “.html”, “.asp”, “.aspx”, “.jsp”, “.php”类型文件,找到后定位到文件末尾,添加下列代码,实现对网页类型文件的挂马:
删除自身的除ipc$外的所有默认共享,枚举局域网共享,找到后尝试使用指定的大量弱口令密码与下列指定的用户名进行逐个尝试访问,成功后在局域网中传播此病毒:
|
“administrator”
“guest”
“admin"
“root”
“apartment”
“free”
“both”
“neutral” |
|
等待访问下列网址木马列表进行下载其它木马并在下载后自动运行:
|
http://www.ip****gou.com/goto/down.txt |
|
该网址内容为:
|
http://www.52**s.com/090110.exe |
|
并访问下列网址进行自身统计:
|
http://www.52**s.com/tj.htm |
|
不断遍历磁盘,尝试调用目录%temp%\下创建的随机名称批处理,删除免疫文件夹,批处理内容如下:
|
rmdir /s /q 盘符:\autorun.inf
del %0 |
|
拷贝自身名为“ .exe”到磁盘分区根目录,并创建“autorun.inf”文件,均修改属性为“只读”、“隐藏”与“系统”,“autorun.inf”内容为:
|
[autorun]
open= .exe
shell\open=打开(&o)
shell\open\command= .exe
shell\open\default=1
shell\explore=资源管理器(&x)
shell\explore\command= .exe |
|