又抓到一只通过局域网传播的蠕虫,再次提醒网友加强防护.
先看看主体的头像.. 好恶心..
样本编写语言:Borland Delphi 6.0 - 7.0
加壳方式:UPX
好象今天刚出生的"宝宝" 几乎杀软都不报.
病毒运行
释放文件
C:\WINDOWS\system32\Supervise.exe
C:\WINDOWS\system32\Death.SiShen
C:\WINDOWS\system32\Death.exe
C:\WINDOWS\system32\Death.SiShen
内容为:
[Autorun]
OPEN=SuperDown.EXE
shellexecute=SuperDown.EXE
shell\Auto\command=SuperDown.EXE
创建启动项
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Death.exe"="C:\WINDOWS\system32\Death.exe"
修改 显示文件和文件夹 注册表
[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000
尝试关闭窗口
symantec antivirus 企业版
江民杀毒软件 kv2006:实时监视
ravmonclass
tflockdownmain
zonealarm
zaframewnd
天网防火墙个人版
tapplication
天网防火墙企业版
tapplication
virusscan
symantec antivirus
duba
wrapped gift killer
icesword
pjf(ustc)
tform1
噬菌体
木马克星
尝试关闭进程
eghost.exe
mailmon.exe
kavpfw.exe
iparmor.exe
_avp32.exe
_avpcc.exe
_avpm.exe
avp32.exe
avpcc.exe
avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
pfw.exe
kfw.exe
vsmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
rav.exe
ravmon.exe
ravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
death.exe (说明:自身副本)
搜索感染除系统盘以外的 .exe/.scr 文件.
受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 ..这样一来所有的 .exe/.scr 文件全部无法恢复.
同样通过区域网传播(death.exe)
还删除了一个注册表,测试时候没删除.
software\microsoft\windows\currentversion\uninstall\密码防盗专家 综合版
请大家提前做到防护..=.= 又是一个可能成为"熊猫烧香"接班人的病毒..
熊猫带了个好头..都跟着学吧..今年的趁势,企业;网吧 今年麻烦就特多咯..
用猫叔的话说:防毒胜于杀毒
