1234   1  /  4  页   跳转

[原创] 当心新版“熊猫烧香”

收藏
本主题由 大版主 lqqk7 于 2008-8-25 21:02:10 执行 设置精华/取消 操作
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-07-15 16:58 | 只看楼主 短消息 资料
字号: 1楼

当心新版“熊猫烧香”

样本来自:http://bbs.janmeng.com/thread-779405-1-1.html

虽然叫“熊猫烧香”,但病毒文件的logo却是只狗。病毒行为与曾经流行过的熊猫烧香基本相同:感染.exe、.htm、.html。在系统分区根目录下释放一个驱动go.sys,加载后即刻自动删除。在各分区根目录下释放       .exe(文件名为三个空格)和autorun.inf。在所有文件夹中创建Desktop_.ini(内容为感染系统的日期)。复制系统中现有.exe程序的图标文件.ico到当前用户临时文件夹中。

未受安全软件保护且未运行的.exe被感染后,如果用户运行之,则在各分区根目录以及系统的drviers目录下生成一个与原版病毒     .exe相同的病毒文件    .exe和suhost.exe(文件图标系被感染文件的图标)。
病毒运行后瑞星20.53.10即刻被废掉。组策略被废掉(中了,就别再想用什么“软件限制策略”对付它了)。
设置为启动加载运行方式的SSM则经受住了病毒的考验。

以下几幅图是病毒运行后我处理它的截图








以下是经SSM处理后被我手工删除的病毒及其相关文件:




用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
本帖被评分 1 次
最后编辑baohe 最后编辑于 2008-07-15 17:41:14
分享到:
gototop
 
zerohk
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-07-15
  • 来自:
发表于: 2008-07-15 17:05 | 短消息 资料
字号: 2楼

回复:当心新版“熊猫烧香”

看看吧
gototop
 
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2008-07-15 17:17 | 短消息 资料
字号: 3楼

回复:当心新版“熊猫烧香”

也叫"机械狗4代"

直接释放驱动,干掉还原!
最后编辑tom2000 最后编辑于 2008-07-15 17:20:30
TOM2000的城堡

任何人任何软件都无法让你达到绝对安全,我们所做的只是最大限度的使你趋近于这个目标!
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-07-15 17:32 | 只看楼主 短消息 资料
字号: 4楼

回复: 当心新版“熊猫烧香”



引用:
原帖由 tom2000 于 2008-7-15 17:17:00 发表
也叫"机械狗4代"

直接释放驱动,干掉还原!


它的“SSDT恢复”并未摧毁SSM。
gototop
 
天月来了
头像
版主
  • 帖子:76896
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-07-15 17:32 | 短消息 资料
字号: 5楼

回复:当心新版“熊猫烧香”

一旦流行,好烦的
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2008-07-15 18:05 | 短消息 资料
字号: 6楼

回复: 当心新版“熊猫烧香”



引用:
原帖由 baohe 于 2008-7-15 17:32:00 发表


引用:
原帖由 tom2000 于 2008-7-15 17:17:00 发表
也叫"机械狗4代"

直接释放驱动,干掉还原!


它的“SSDT恢复”并未摧毁SSM。


估计初始版本基本还是"实验"阶段某些功能代码尚未完善.但变种潜力巨大...
TOM2000的城堡

任何人任何软件都无法让你达到绝对安全,我们所做的只是最大限度的使你趋近于这个目标!
gototop
 
1fox
头像
快乐黄口狮
  • 帖子:222
  • 注册: 2008-05-03
  • 来自:
发表于: 2008-07-15 21:12 | 短消息 资料
字号: 7楼

回复:当心新版“熊猫烧香”

得提防了

gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2008-07-15 22:12 | 短消息 资料
字号: 8楼

回复: 当心新版“熊猫烧香”



引用:
原帖由 tom2000 于 2008-7-15 17:17:00 发表
也叫"机械狗4代"

直接释放驱动,干掉还原!


虽然释放驱动,但这个和机器狗没关系,还原SSDT方法也不一样。

另外,那些什么xxx、第五代都是些噱头,到现在也没见过真正的样本
gototop
 
帝王时代的帅哥
头像
健康舞勺狮
  • 帖子:315
  • 注册: 2007-07-05
  • 来自:那美克星
发表于: 2008-07-16 16:43 | 短消息 资料
字号: 9楼

回复:当心新版“熊猫烧香”

那些做病毒的人脑子不好啊。。。
伤害那么多人,没意思。。。
也不干点正经的。。。
gototop
 
圣洁之神
头像
飘泊而立狮
  • 帖子:295
  • 注册: 2002-04-22
  • 来自:
发表于: 2008-07-17 08:39 | 短消息 资料
字号: 10楼

回复:当心新版“熊猫烧香”

难道说中了只有格机吗??真恐怖
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT