瑞星卡卡安全论坛

首页 » 技术交流区 » 系统软件 » 【原创】熊猫烧香金猪报喜变种sppoolsv版病毒描述
kingawsm123 - 2007-2-4 18:43:00
熊猫烧香金猪报喜变种sppoolsv版病毒描述


方舟系统站(www.fz49.com) 转载请注明




  此次变种笔者认为是非原“熊猫烧香”所为,它是原熊猫烧香变种spcolsv.exe版的初级改造版,病毒主文件名改为了sppoolsv.exe,同时绑定几个盗号程序,目的性很强。在进程中,可以明显看到几个盗的进程,如图1所示,看进程的方法有很多种,为使大家看得更习惯性,将资源管理器的执行文件改名为taskmgr1.exe,运行后就完全看到这个病毒的进程了(注在原版熊猫烧香或原作者所作的变种中,病毒是根据资源管理器窗口标题,来将踢出资源管理器的,sppoolsv版则检测进程名,所以改个名就不会踢出去了)。另外此变种加入了各大专杀工具的控制,使专杀工具打开后1秒自动关闭,由于此变种内核原理并没有改变,所以只要将专杀工具改个名就可以将此变种扫除。
  “熊猫烧香金猪报喜变种sppoolsv版”跟原版熊猫烧香一样,是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的备份文件,使用户的系统备份文件丢失,无法通过克隆恢复系统。被感染的用户系统中所有.exe可执行文件全部被改成金猪报喜的模样。




图1 金猪报喜变种sppoolsv版病毒发作后的进程及病毒文件



以下详细分析熊猫烧香金猪报喜变种sppoolsv版病毒的行为过程:




1:拷贝文件



通过脚本将网页中的病毒下载到系统临时目录,获得控制权运行后,会把自己拷贝到:C:\WINDOWS\System32\Drivers\sppoolsv.exe
C:\WINDOWS\system32\jiang.exe
C:\WINDOWS\system32\rhlamt.exe
C:\WINDOWS\system32\rhlamt.dll
据分析sppoolsv.exe原熊猫病毒主文件,其它三个为变种作者外挂的木马程序。



2:添加注册表自启动



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ejgewl"="C:\\WINDOWS\\system32\\rhlamt.exe"



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="C:\\WINDOWS\\system32\\drivers\\sppoolsv.exe"




3:病毒行为



a:每隔1秒寻找程序的进程:



QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword



并使用的键盘映射的方法关闭安全软件IceSword



添加注册表使自己自启动



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\sppoolsv.exe



并中止系统中以下的进程: Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe



b:在后台弹出网页



弹出每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享



c:通过局域弱口令作其它工作站传染



d:每隔6秒删除安全软件在注册表中的键值,并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00



删除以下服务: navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc



e:感染文件



   病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,文件长度增加64K,同时在每个目录生成一个desktop_.ini文件,如图2所示。并在扩展名为htm,html, asp,php,jsp,aspx的文件中,以内嵌0*0的框架,内放一个带毒网页,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件: WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone




图2 被传染后的文件图标



g:删除文件



病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。




h:每隔6秒向各盘根目录下释放如下文件
autorun.inf
内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell/Auto/command=setup.exe



i:使用各类熊猫烧香专杀可以将此病毒的主程序及使大部分被传染的文件恢复。使用熊猫烧香专杀扫描后, 金猪报喜变种主程序sppoolsv.exe被查杀,图标基本恢复正常,若此时你认为没有问题了,可以放心使用了,就错了,因为你的各种帐号密码正在受到别人窥探,高危木马借熊猫的力量,已植入你的电脑,仍在活动之中,专杀之后重启电脑,似乎一切正常,打开任务管理器,如图3所示,就会发现不速之客还在里面。







图三 专杀之后木马仍在



如何彻底解除熊猫烧香金猪报喜变种sppoolsv版病毒



手工解除:首先tasklist查看出不正常的进程,然后记录下它们的PID,taskkill /pid xxxx /f /t (这里的xxx,是代表你刚才用tasklist查出的不正常的进程PID,下载一个最新的熊猫烧香专杀扫描全盘,将所有金猪清除。然后手工将木马文件删除:
C:\WINDOWS\system32\jiang.exe
C:\WINDOWS\system32\rhlamt.exe
C:\WINDOWS\system32\rhlamt.dll

手工清除注册表自启动中的:



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ejgewl"="C:\\WINDOWS\\system32\\rhlamt.exe"



如何彻底预防熊猫烧香病毒及其未来变种



  由于熊猫烧香原作者加编程水平和加密手段均不象高手所为(至少本人这样认为,举个例子,如为了不让人结束它的进程,将任务管理器踢出,说明作者编程能力有限,作程序的朋友就明白,作一个在任务管理器看不到的进程并非难事,本站制作的方舟ARP高级补丁,为防止人为恶意ARP攻击,就使用了进程隐藏,另外壳用的是最简单的UPack,几分钟就能脱掉),作者利用网民安全意识太差使这个病毒广流传,烧遍了大江南北,而木马的主人得到此病毒样本后,轻意解壳得到相关的源代码,他们研究病毒样本的目的最有一个:盗号。所以未来一段时间内网民被盗的号的情况会更加严重。



  专杀工具和相关的补丁一般都滞后于变种的变化,所以被动的防缷,不如主动地出击,除了网上介绍的常规方法(密码加长、禁止自动运行、加防火墙等)外,我们认为可以使NTFS文件格式的高安全权限来限制病毒的传播和发作。也就是通过合理的设置相关的文件夹的安全权限来抵抗下一轮病毒洪水般的进攻。安全权限方面可以作以下两个工作,一是禁止临时目录的运行权限,堵住从网页下载到临时目录的病毒发作途径(据不完全综计,当前90%的病毒是对通过TEMP生成可执行文件,并获得控制权),二是对已知高发病毒作疫苗,这个有点象医学的疫苗,我们可以将建立一个已病毒主文件名相同的文件(例如本文的主角C:\WINDOWS\System32\Drivers\sppoolsv.exe),然后将它的所有权限都删除,这样当进入带熊猫烧香金猪报喜变种sppoolsv版病毒网站时,系统无法生成真正的病毒文件sppoolsv.exe,所以毒也就自行消失了。对于作系统的高手来说,去运行权限、作已知病毒的疫苗易如翻掌,但对于广大面向应用的一般网民来说,要他们作以上操作,似乎是有些为难他们了。本次方舟系统站制作的熊猫烧香预防补丁(方舟广谱病毒疫苗v1.1)便可以轻松解决这一问题。



方舟广谱病毒疫苗的原理:



  设置注册表权限及系统目录为只读,使病毒无法感染系统, 达到疫苗的效果,对未知的变种有着主动防御能力。且本疫苗并 不占用任何系统资源,丝毫不会象有些防毒软件那样占用大量系统资源。
本疫苗由方舟系统站制作 QQ:346644
本疫苗为内部测试版,功能强大、可在线升级正式版将于近期发布。
版本号  修订日期    修订人   修订内容
1.1   2007-02-02   fz49.com  创建本脚本



方舟广谱病毒疫苗下载地址:http://www.fz49.com/html/ruanjianxiazai/shadufangdu/20070203/390.html

方舟广谱病毒疫苗注意事项:
 某些安装程序也会用到一些限制安全性注册表键,请在安装前运行本程序,然后选择2,恢复默认设置。安装完成后,重新运行本程序, 若已实施方舟广谱病毒疫苗,则第4、5项同时也已实施。 如何验证病毒疫苗生效:例如打“熊猎烧香”疫苗后,再一次选择4,出现了拒绝访问等字样,说明已生效。 然后选择1,实施方舟广谱病毒疫苗。
   在无盘系统或带有还原的系统中,注册表及相关目录可以还原,可以只安装“熊猎烧香”疫苗+禁止临时文件夹运行权限。


1
查看完整版本: 【原创】熊猫烧香金猪报喜变种sppoolsv版病毒描述