1234   1  /  4  页   跳转

[原创] 当心新版“熊猫烧香”

当心新版“熊猫烧香”

样本来自:http://bbs.janmeng.com/thread-779405-1-1.html

虽然叫“熊猫烧香”,但病毒文件的logo却是只狗。病毒行为与曾经流行过的熊猫烧香基本相同:感染.exe、.htm、.html。在系统分区根目录下释放一个驱动go.sys,加载后即刻自动删除。在各分区根目录下释放       .exe(文件名为三个空格)和autorun.inf。在所有文件夹中创建Desktop_.ini(内容为感染系统的日期)。复制系统中现有.exe程序的图标文件.ico到当前用户临时文件夹中。

未受安全软件保护且未运行的.exe被感染后,如果用户运行之,则在各分区根目录以及系统的drviers目录下生成一个与原版病毒     .exe相同的病毒文件    .exe和suhost.exe(文件图标系被感染文件的图标)。
病毒运行后瑞星20.53.10即刻被废掉。组策略被废掉(中了,就别再想用什么“软件限制策略”对付它了)。
设置为启动加载运行方式的SSM则经受住了病毒的考验。

以下几幅图是病毒运行后我处理它的截图








以下是经SSM处理后被我手工删除的病毒及其相关文件:




用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
本帖被评分 1 次
最后编辑baohe 最后编辑于 2008-07-15 17:41:14
分享到:
gototop
 

回复:当心新版“熊猫烧香”

看看吧
gototop
 

回复:当心新版“熊猫烧香”

也叫"机械狗4代"

直接释放驱动,干掉还原!
最后编辑tom2000 最后编辑于 2008-07-15 17:20:30
TOM2000的城堡

任何人任何软件都无法让你达到绝对安全,我们所做的只是最大限度的使你趋近于这个目标!
gototop
 

回复: 当心新版“熊猫烧香”



引用:
原帖由 tom2000 于 2008-7-15 17:17:00 发表
也叫"机械狗4代"

直接释放驱动,干掉还原!


它的“SSDT恢复”并未摧毁SSM。
gototop
 

回复:当心新版“熊猫烧香”

一旦流行,好烦的
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 当心新版“熊猫烧香”



引用:
原帖由 baohe 于 2008-7-15 17:32:00 发表


引用:
原帖由 tom2000 于 2008-7-15 17:17:00 发表
也叫"机械狗4代"

直接释放驱动,干掉还原!


它的“SSDT恢复”并未摧毁SSM。


估计初始版本基本还是"实验"阶段某些功能代码尚未完善.但变种潜力巨大...
TOM2000的城堡

任何人任何软件都无法让你达到绝对安全,我们所做的只是最大限度的使你趋近于这个目标!
gototop
 

回复:当心新版“熊猫烧香”

得提防了

gototop
 

回复: 当心新版“熊猫烧香”



引用:
原帖由 tom2000 于 2008-7-15 17:17:00 发表
也叫"机械狗4代"

直接释放驱动,干掉还原!


虽然释放驱动,但这个和机器狗没关系,还原SSDT方法也不一样。

另外,那些什么xxx、第五代都是些噱头,到现在也没见过真正的样本
gototop
 

回复:当心新版“熊猫烧香”

那些做病毒的人脑子不好啊。。。
伤害那么多人,没意思。。。
也不干点正经的。。。
gototop
 

回复:当心新版“熊猫烧香”

难道说中了只有格机吗??真恐怖
gototop
 
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT