又抓到一只通过局域网传播的蠕虫,再次提醒网友加强防护. bbs.ikaka.com

mopery - 2007-1-31 23:31:00

先看看主体的头像.. 好恶心..

样本编写语言：Borland Delphi 6.0 - 7.0
加壳方式：UPX

好象今天刚出生的"宝宝" 几乎杀软都不报.

病毒运行
释放文件
C:\WINDOWS\system32\Supervise.exe
C:\WINDOWS\system32\Death.SiShen
C:\WINDOWS\system32\Death.exe

C:\WINDOWS\system32\Death.SiShen
内容为:
[Autorun]
OPEN=SuperDown.EXE
shellexecute=SuperDown.EXE
shell\Auto\command=SuperDown.EXE

创建启动项
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Death.exe"="C:\WINDOWS\system32\Death.exe"

修改显示文件和文件夹注册表
[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000

尝试关闭窗口
symantec antivirus 企业版
江民杀毒软件 kv2006：实时监视
ravmonclass
tflockdownmain
zonealarm
zaframewnd
天网防火墙个人版
tapplication
天网防火墙企业版
tapplication
virusscan
symantec antivirus
duba
wrapped gift killer
icesword
pjf(ustc)
tform1
噬菌体
木马克星

尝试关闭进程
eghost.exe
mailmon.exe
kavpfw.exe
iparmor.exe
_avp32.exe
_avpcc.exe
_avpm.exe
avp32.exe
avpcc.exe
avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
pfw.exe
kfw.exe
vsmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
death.exe (说明:自身副本)

搜索感染除系统盘以外的 .exe/.scr 文件.
受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 ..这样一来所有的 .exe/.scr 文件全部无法恢复.

同样通过区域网传播(death.exe)

还删除了一个注册表,测试时候没删除.
software\microsoft\windows\currentversion\uninstall\密码防盗专家综合版

请大家提前做到防护..=.= 又是一个可能成为"熊猫烧香"接班人的病毒..

熊猫带了个好头..都跟着学吧..今年的趁势,企业;网吧今年麻烦就特多咯..

用猫叔的话说:防毒胜于杀毒

香烧熊猫 - 2007-1-31 23:32:00

xie xie

anningll - 2007-1-31 23:40:00

谢谢啊```好多病毒它也尝试关闭啊```惟我独尊？

kleuzer - 2007-1-31 23:41:00

好变态的病毒,看来以后都要把文件放在Windows系统文件夹下安全多了
P.s.幸好我不用主流防火墙

浪子蹦达 - 2007-1-31 23:46:00

这种东西会在Windows传播吗?我的电脑就是Windows系统呀!请回答谢谢

anningll - 2007-1-31 23:48:00

汗````你要用个LINUX```就不中拉```
当然是在WINDOWS传播啊``

恐龙妹妹 - 2007-1-31 23:52:00

关闭其他病毒估计是怕冲突吧，都是exe，互相修改岂不是乱套了
以毒攻毒

傻傻§小妖 - 2007-1-31 23:58:00

我恨这些东西～～～～！

老中毒咋办 - 2007-1-31 23:59:00

俺是新手,大家多照顾

江南山水 - 2007-2-1 0:11:00

熊猫还在继续啊。

anningll - 2007-2-1 0:19:00

很多人都在用它的思路做病毒```

小白宝宝 - 2007-2-1 0:26:00

那确实熊猫带出一班徒弟了~~~

哎~~ 我在局域网,我痛苦啊

纳兰明珠 - 2007-2-1 0:40:00

我的电脑自从中了第一代熊猫之后就没继续中过毒了，奇迹啊。。。嘻嘻。。。

怕病毒！ - 2007-2-1 0:40:00

呵呵
logo1_.exe
logo_1.exe
rundl132.exe
这些不是它的前辈么?

單純僦昰緈諨 - 2007-2-1 1:33:00

防毒胜于杀毒啊~!顶死~~..但是他也攻击系统漏洞吗~?~~?还是光通过局域网传播啊`~???

轩辕小聪 - 2007-2-1 2:08:00

这个病毒的表现，某些方面像熊猫烧香，某些方面有过之而无不及。
特别是熊猫烧香感染文件，只是前后加代码，杀软或专杀剔除病毒代码，感染程序即可以修复。
而这个病毒，直接覆盖被感染文件，使文件通过一般方法无法恢复！真的要恢复的话，恐怕得找专门的数据修复的公司了，而且几乎不可能恢复如初。

如果这个病毒真的流行起来，那带给网络的，将是比熊猫烧香更大的灾难！

07年的感染型病毒，是反病毒业界和电脑用户面临的严峻考验。恐怕这场战争只不过刚刚揭开了序幕，一切才刚刚开始……

从“威金”和“熊猫烧香”的洗礼中走过来的用户们，你们做好准备迎接新的挑战了吗？

shy620 - 2007-2-1 3:15:00

厉害的毒呀,求老大编程干了它吧

好学的忆忆 - 2007-2-1 3:32:00

引用:

【mopery的贴子】

好象今天刚出生的"宝宝" 几乎杀软都不报.

………………

刚出生就给抓..

图标真BT好歹弄个可爱点的呢，

又和其他病毒PK上了

好学的忆忆 - 2007-2-1 3:35:00

引用:

【轩辕小聪的贴子】这个病毒的表现，某些方面像熊猫烧香，某些方面有过之而无不及。
特别是熊猫烧香感染文件，只是前后加代码，杀软或专杀剔除病毒代码，感染程序即可以修复。
而这个病毒，直接覆盖被感染文件，使文件通过一般方法无法恢复！真的要恢复的话，恐怕得找专门的数据修复的公司了，而且几乎不可能恢复如初。

如果这个病毒真的流行起来，那带给网络的，将是比熊猫烧香更大的灾难！

07年的感染型病毒，是反病毒业界和电脑用户面临的严峻考验。恐怕这场战争只不过刚刚揭开了序幕，一切才刚刚开始……

从“威金”和“熊猫烧香”的洗礼中走过来的用户们，你们做好准备迎接新的挑战了吗？
………………

我没准备好...我恨熊猫！！！