| 词条 | 尼姆亚病毒 |
| 释义 | § 介绍 尼姆亚病毒“熊猫烧香”,很厉害的~~ 最近病毒猖獗~~我朋友先后中了N个病毒~~ROSE病毒太厉害~~变异太快了~~最近新出现一种病毒~~熊猫烧香~~可以看看这个 【CISRT2006078】FuckJacks.exe setup.exe 熊猫烧香 尼姆亚 解决方案 【size=14px】档案编号:CISRT2006078 病毒名称:Trojan-PSW.Win32.QQRob.ec(Kaspersky) 病毒别名:Worm.Nimaya.a【尼姆亚】(瑞星) 病毒大小:30,465 字节 加壳方式:FSG 样本MD5:2a6ad4fb015a3bfc4acc4ef234609383 样本SHA1:bd2499c1bcddc5a55c87510730e6e826f7dac9bc 发现时间:2006.11 更新时间:2006.11 关联病毒: 传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播 § 技术分析 技术分析 ========== exe主程序使用白底熊猫烧香图标,运行后复制自身到系统目录: %System%\\FuckJacks.exe 创建自启动项: 【/size】 【size=14px】【HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run】 "FuckJacks"="%System%\\FuckJacks.exe" 【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run】 "svohost"="%System%\\FuckJacks.exe"【/size】 【size=14px】 在各分区根目录创建副本: X:\\autorun.inf X:\\setup.exe autorun.inf内容: 【/size】 【size=14px】【AutoRun】 OPEN=setup.exe shellexecute=setup.exe shell\\Auto\\command=setup.exe【/size】 【size=14px】 尝试删除隐藏管理共享: 【/size】 【size=14px】net share X$ /del /y net share admin$ /del /y net share IPC$ /del /y【/size】 【size=14px】 尝试结束进程: Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl123.exe 关闭窗口: QQKav QQAV VirusScan Symantec AntiVirus iDuba esteem procs Wrapped gift Killer Winsock Expert msctls_statusbar32 pjf(ustc) IceSword 删除启动项: RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI Network Associates Error Reporting Service ShStatEXE YLive.exe yassistse 禁用服务: Schedule sharedaccess RsCCenter RsRavMon RsCCenter KVWSC KVSrvXP kavsvc AVP McAfeeFramework McShield McTaskManager navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 遍历目录,感染除系统目录外其它目录中的exe文件,将自身捆绑在exe文件前端,并在尾部添加标记信息: 【/size】 【size=14px】QUOTE:【/size】 【size=14px】WhBoy{原文件名}.exe.{原文件大小}.【/size】 【size=14px】 被感染exe运行后释放前端病毒文件到%System%\\FuckJacks.exe,并使用bat批处理将后边原始exe文件“还原”,bat批处理内容: 【/size】 【size=14px】:try1 del "file.exe" if exist "file.exe" goto try1 ren "file.exe.exe" "file.exe" if exist "file.exe.exe" goto try2 "file.exe" :try2 del %0【/size】 【size=14px】 这个环节和Viking类似。 病毒还尝试使用弱密码访问局域网内其它计算机: password harley golf pussy mustang shadow fish qwerty baseball letmein ccc admin abc pass passwd database abcd abc123 sybase 123qwe server computer super 123asd ihavenopass godblessyou enable alpha 1234qwer 123abc aaa patrick pat administrator root sex god foobar secret test test123 temp temp123 win asdf pwd qwer yxcv zxcv home xxx owner login Login love mypc mypc123 admin123 mypass mypass123 Administrator Guest admin Root 病毒体内包含文字: xXx_WhBoy_Worm xXx_WhBoy 清除步骤 ========== 1. 断开网络 2. 结束病毒进程 %System%\\FuckJacks.exe 3. 删除病毒文件: %System%\\FuckJacks.exe 4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件: X:\\autorun.inf X:\\setup.exe 5. 删除病毒创建的启动项: 【/size】 【size=14px】【HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run】 "FuckJacks"="%System%\\FuckJacks.exe" 【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run】 "svohost"="%System%\\FuckJacks.exe"【/size】 【size=14px】 6. 修复或重新安装反病毒软件 7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件【/size】 【size=14px】 【/size】 【size=14px】 【/size】 【size=14px】 【/size】 【size=14px】【CISRT2006081】熊猫烧香变种 spoclsv.exe 解决方案【url=http://www.cisrt.org/bbs/viewthread.php?tid=539&;extra=page%3D1】【color=#800080】http://www.cisrt.org/bbs/viewthread.php?tid=539&;extra=page%3D1【/color】【/size】 【size=14px】 【/size】 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。