【警告】"熊猫"进化论...区域用户注意堤防.. bbs.ikaka.com

mopery - 2006-12-19 21:08:00

玛玛斑竹在:http://forum.ikaka.com/topic.asp?board=28&artid=8216268
已经分析了个熊猫..

熊猫作者据说要搞个不改变.exe 图标的大熊猫..不知道是否属实...
观望下个版本..

这个版本对.exe的改变已经不是单纯的熊猫头了..
.exe 只有稍微一点点的颜色变化..

在此小分析..顺便提醒区域网用户和个人用户..注意堤防..

尝试关闭窗口
天网防火墙进程
virusscan
nod32
网镖杀毒
毒霸
瑞星
江民
黄山ie
超级兔子
优化大师
木马清道夫
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
symantec antivirus
duba
windows 任务管理器
esteem procs
绿鹰pc
密码防盗
噬菌体
木马辅助查找器
system safety monitor
system repair engineer
wrapped gift killer
winsock expert
游戏木马检测大师
超级巡警
pjf(ustc)
icesword

尝试关闭进程
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravstub.exe
kvxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe

删除以下启动项
software\microsoft\windows\currentversion\run\ravtask
software\microsoft\windows\currentversion\run\kvmonxp
software\microsoft\windows\currentversion\run\kav
software\microsoft\windows\currentversion\run\kavpersonal50
software\microsoft\windows\currentversion\run\mcafeeupdaterui
software\microsoft\windows\currentversion\run\network associates error reporting service
software\microsoft\windows\currentversion\run\shstatexe
software\microsoft\windows\currentversion\run\ylive.exe
software\microsoft\windows\currentversion\run\yassistse

禁用以下服务
kvwsc
kvsrvxp
kvwsc
kavsvc
avp
mcafeeframework
mcshield
mctaskmanager
navapsvc
wscsvc
kpfwsvc
sndsrvc
ccproxy
ccevtmgr
ccsetmgr
spbbcsvc
symantec core lc
npfmntor
mskservice
firesvc
search

搜索感染除以下目录外的所有.exe/.scr/.pif/.com/.htm/.html/.asp/.php/.jsp/.aspx文件
windows
winnt
system32
documents and settings
system volume information
recycled
windows nt
windowsupdate
windows media player
outlook express
internet explorer
netmeeting
common files
complus applications
messenger
installshield installation information
msn
microsoft frontpage
movie maker
msn gamin zone

删除.gho

最恶心的改变最大的来咯..
每个目录下释放 desktop_.ini
和威金结婚同住..

监视记录QQ和访问局域网文件记录：c:\test.txt，试图QQ消息传送

添加启动项
software\microsoft\windows\currentversion\run
[svcshare]

禁用文件夹隐藏选项
software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\checkedvalue

所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y

病毒主体字节:71833 捆绑.exe字节头部:71833 尾部:27

分析可能会有点小误差...依照艾玛斑竹帖子改写..

最后说句..

这病毒太恶心了..

taylor05771 - 2006-12-19 21:21:00

看过样本,作者应该不熟悉网络安全的防护方面至少单机防御和局域网防御

漏了很多本来可以增强病毒威力的地方呵呵

从分析上看和威金编写者有着相当程度的相似,以及作者在病毒程序中的留言可以肯定两者有着密切的关系或者说是同一个人.
PS
威金的作者偶知道是谁了......

deadmanzj - 2006-12-19 21:23:00

我郁闷了。。。为什么我的脱壳的就偏偏坏了呢！！

mxucdy - 2006-12-19 21:25:00

每个根目录下会生成一个
sxs.exe
autorun.inf
[AutoRun]
OPEN=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe

今天搞了我半天!

mopery - 2006-12-19 21:39:00

2楼没RP

一个烂壳脱不掉..

大家完全可以鄙视他..

deadmanzj - 2006-12-19 21:50:00

只是暂时性毛病。。。也许是你的烂样本出问题了。。。郁闷！！！

怀安LEDA電腦 - 2006-12-19 22:33:00

学习。

友好人士 - 2006-12-19 23:10:00

网警，威金作者不会是你弟吧？呵呵，开玩笑！

猪知山 - 2006-12-20 0:21:00

zq77 - 2006-12-20 8:42:00

Bitdefender不受影响

与时拒进 - 2006-12-20 9:55:00

引用:

【taylor05771的贴子】看过样本,作者应该不熟悉网络安全的防护方面至少单机防御和局域网防御

漏了很多本来可以增强病毒威力的地方呵呵

从分析上看和威金编写者有着相当程度的相似,以及作者在病毒程序中的留言可以肯定两者有着密切的关系或者说是同一个人.
PS
威金的作者偶知道是谁了......
………………

制作、发布、传播恶意病毒是犯罪吗？有没有什么相关法律规定制止这一情况？你怎么不向公安部门举报？

taylor05771 - 2006-12-20 10:08:00

引用:

【与时拒进的贴子】
制作、发布、传播恶意病毒是犯罪吗？有没有什么相关法律规定制止这一情况？你怎么不向公安部门举报？
………………

没兴趣.....

只对怎么阻断传播有兴趣

deadmanzj - 2006-12-20 11:44:00

威金作者在外界有着很光辉的过去！！有着很好的条件，即使起诉也不会有什么效果！！

afkp4e7 - 2006-12-20 12:25:00

今天又发现新的熊猫瑞星不报
文件大小110图标没变

mopery - 2006-12-20 12:59:00

引用:

【afkp4e7的贴子】今天又发现新的熊猫瑞星不报
文件大小110图标没变
………………

发送 bin59420@yahoo.com.cn

aikakaka - 2006-12-20 13:22:00

引用搂主“最后说句..这病毒太恶心了..”，强烈鄙视。
谢谢了，学习拉

闪电风暴 - 2006-12-20 13:37:00

学习了

现代梁山伯 - 2006-12-20 15:53:00

请你帮我看看我的日志好吗？我开机开不了了．谢谢了，我在这里发的，叫　现代梁山伯

水树雨下 - 2006-12-20 21:13:00

不知道该说作者是天才还是人渣……

水树雨下 - 2006-12-20 21:14:00

不知道该说作者是天才还是人渣……

☆★雨泪★☆ - 2006-12-20 21:39:00

我晕死~~ 狂晕死~~ 我中了这个“熊猫”的病毒。
NND 我本来以为重装系统就会没了，没想到。。。。
重装系统后，几乎所有 .exe的文件的图标都成了一个熊猫：闭着眼睛，举着3根香的，看着有点恐怖。而且直接双击各个盘打不开！
晕死~~~~
谁能帮帮我啊！我的E-mail：pdsyulei@qq.com
谢谢！

另外，我把所有盘都格掉，能不能消灭这种病毒？
有什么办法能彻底消灭这种病毒？哪怕我电脑上所有的资料都没了！

鸟儿天上飞 - 2006-12-21 6:14:00

引用:

【☆★雨泪★☆的贴子】我晕死~~ 狂晕死~~ 我中了这个“熊猫”的病毒。
NND 我本来以为重装系统就会没了，没想到。。。。
重装系统后，几乎所有 .exe的文件的图标都成了一个熊猫：闭着眼睛，举着3根香的，看着有点恐怖。而且直接双击各个盘打不开！
晕死~~~~
谁能帮帮我啊！我的E-mail：pdsyulei@qq.com
谢谢！

另外，我把所有盘都格掉，能不能消灭这种病毒？
有什么办法能彻底消灭这种病毒？哪怕我电脑上所有的资料都没了！
………………

呵呵全格就没了只要你不心疼

deadmanzj - 2006-12-21 9:43:00

引用:

【水树雨下的贴子】不知道该说作者是天才还是人渣……
………………

其实作者并非那个小屁孩，他只是来炫耀一下！！

都是些疯子 - 2006-12-21 10:19:00

不是熊猫上香的图标吗？尼姆亚病毒。我遇到过的！

都是些疯子 - 2006-12-21 10:21:00

用瑞星2007版本，在DOS底下彻底杀毒就好了！！

天洪霸天 - 2006-12-21 14:22:00

杀啊！！！！！

GenWest - 2006-12-21 15:39:00

杀完以后局域网还有传播，但是瑞星实时监控还是防御不了。

独孤豪侠 - 2006-12-21 17:48:00

呵呵...鄙视.

☆★雨泪★☆ - 2006-12-21 23:14:00

我终于发现这个病毒其实杀不掉的，还能潜藏到电脑里！
我又是找专杀，又是重装系统，本以为彻底干净了！
当我打开“浩方对战平台”时，我就傻眼了！
那举着3根香的熊猫又出现了！。。。。。。
谁能告诉我是怎么回事？？
谢谢赐教！

愛如潮水 - 2006-12-21 23:18:00

我是菜鸟~~~~~
不会系统重装也不会什么盘格式化~~~
谁教教我啊~~~~
我什么软件都没有~~~~

瑞星卡卡安全论坛