瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 事实证明:那些因“熊猫烧香” 作者被抓而欢呼的人高兴过早了

12   1  /  2  页   跳转

事实证明:那些因“熊猫烧香” 作者被抓而欢呼的人高兴过早了

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-13 21:55 | 显示全部 短消息 资料
字号: 1楼

事实证明:那些因“熊猫烧香” 作者被抓而欢呼的人高兴过早了

今天,在网上找了个样本,文件名是SSMUpdates.exe(见附图)。以为是被感染的SSM的升级程序。好奇!
于是取消了Tiny的文件保护规则。在影子系统下运行SSMUpdates.exe,看看这个病毒到底有多厉害。

附件附件:

下载次数:350
文件类型:image/pjpeg
文件大小:
上传时间:2007-2-13 21:55:16
描述:
预览信息:EXIF信息



最后编辑2007-03-22 19:32:05.233000000
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-13 21:56 | 显示全部 短消息 资料
字号: 2楼

由此,基本可以断定此毒是“熊猫烧香”的变种。

附件附件:

下载次数:369
文件类型:image/pjpeg
文件大小:
上传时间:2007-2-13 21:56:30
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-13 21:58 | 显示全部 短消息 资料
字号: 3楼

这个熊猫的厉害之处在于:
除了感染系统分区以外的 .exe和.html文件外,还用68K的病毒文件覆盖“程序文件夹”中的所有.exe文件(已经运行的.exe除外) 。

附件附件:

下载次数:364
文件类型:image/pjpeg
文件大小:
上传时间:2007-2-13 21:58:30
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-13 21:59 | 显示全部 短消息 资料
字号: 4楼

Tiny的文件也完了

附件附件:

下载次数:361
文件类型:image/pjpeg
文件大小:
上传时间:2007-2-13 21:59:18
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-13 22:00 | 显示全部 短消息 资料
字号: 5楼

SSM的可执行文件,除了已经运行的syssafe.exe,也全部玩儿完。

附件附件:

下载次数:358
文件类型:image/pjpeg
文件大小:
上传时间:2007-2-13 22:00:57
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-14 09:12 | 显示全部 短消息 资料
字号: 6楼

引用:
【闪电风暴的贴子】建议把IceSword.exe改为IceSword.cmd或者IceSword.pif等.这样可能逃过熊猫感染.也可以正常运行
………………

没用。
这个变种不是感染程序文件夹中的.exe;而是用病毒文件覆盖那些.exe。你没看见图中那个IceSword.exe已经变成68K了?
防范措施:用Tiny这类带文件保护功能的安全软件保护Program Files文件夹各级目录及文件。有效。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-14 09:25 | 显示全部 短消息 资料
字号: 7楼

引用:
【冰雨2006的贴子】猫叔我搞了个SSM装上以后还是英文呢我安装时已经选了中文了,听他们说能设成中文怎么设啊,你那个中文版的怎么搞的共享一下吧哈哈
………………

附件附件:

下载次数:243
文件类型:image/pjpeg
文件大小:
上传时间:2007-2-14 9:25:05
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-14 09:25 | 显示全部 短消息 资料
字号: 8楼

引用:
【冰雨2006的贴子】猫叔我搞了个SSM装上以后还是英文呢我安装时已经选了中文了,听他们说能设成中文怎么设啊,你那个中文版的怎么搞的共享一下吧哈哈
………………

附件附件:

下载次数:231
文件类型:image/pjpeg
文件大小:
上传时间:2007-2-14 9:25:45
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-14 09:40 | 显示全部 短消息 资料
字号: 9楼

引用:
【logicl的贴子】如果中了,不是就没的救了??
能不能解??
………………

1、系统分区以外的.exe和.htm、html文件全部被感染。
2、Program File文件夹中的、尚未加载运行的.exe文件全部被病毒文件替换
3、硬盘中GHO备份被删除。

由此判断:如果没有光盘GHO备份,恐怕只有重装系统了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-02-14 10:09 | 显示全部 短消息 资料
字号: 10楼

引用:
【天山雪狐的贴子】exe文件被覆盖,是不是意味着即使病毒被清除,EXE文件也不能使用了?
………………

意味着正常的应用程序.exe被病毒程序.exe替换了。
此时,你再运行那些程序(如:IceSword.exe),实际运行的是病毒程序。因为正常的IceSword.exe已不存在。
此毒之“恶”,即在于此。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT