|
楼主 |
发表于 2007-8-27 21:45:47
|
显示全部楼层
现提供所找到该病毒的分析资料(目前只知道江民8月24日病毒库即可有效防杀此病毒)
病毒名称:Win32/DaXingXing.a
" q& C5 E$ c$ j! L: j5 H, y中 文 名:大猩猩病毒
0 u& E* r0 J1 O; F
( }$ O0 ?" B* r" Y病毒类型:文件型4 A+ s2 N# I% t& E; P
# z: D; p3 r \+ j; [ F
危害等级:★★★
, v: g0 T. [# R5 q+ G2 M2 \; g) l; _( a; u
影响平台:Win 9X/ME/NT/2000/XP/2003, s3 P5 t' M2 x: @! @4 i
病毒样本MD5值为:60f66f0b7312e6eb9a5f2f823c5ff316
* E$ T- b* u0 T5 o8 ?文件大小为:819829字节
; M& I' N9 I e+ p$ v; A" z0 K, d* Q
8 o- q9 t2 f+ S; J3 t% h$ H( \ U9 ?
3 M' V9 C, S/ a) `. G8 a3 c病毒运行特征:
2 `# ~5 f1 F0 H% m$ d* U: w6 R2 r4 l. o. t3 T
, Z3 A9 {1 b) V' M Y4 d- p
1.) j5 k3 v0 v: i
Win32/DaXingXing.a" B1 ?2 O. C; k
大猩猩病毒是一个采用易语言编写的文件型病毒,病毒运行后,创建病毒进程winfuckjp.exe ,该进程采用RootKit技术隐藏自身,用Windows自带的任务管理器察看不到。
I. C5 g" s* b& j* x1 L0 ^4 _) H3 r( j6 d3 o
释放病毒文件:; M! y% X/ D* D1 x5 Q
6 M/ Y; i5 r- K% e%WinDir%\System32\winfuckjp.exe, 819829字节3 ?! L, _0 L- l' B
, } l- @9 {: s0 Z( V
4 t+ p( h, E& d) E$ L该病毒还会感染全盘所有的*.exe文件,向文件头部添加7725字节的数据,感染后的文件图标变成一个大猩猩的图标,如下图:( P2 D9 U" {6 Z/ r
3 p5 l* K& `4 C
( G& I6 n6 w+ a
2.8 x' J% i6 R% S- E) L W
在注册表中添加下列启动项:
6 d2 c. R6 N6 t$ C, g y- s/ |, d7 n$ X1 A$ \
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
) b! O$ T' \0 \0 w$ B% o"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe
y) C5 _* |& Z: d% e这样,在Windows启动时,病毒就可以自动执行。7 v- v3 {3 M( \# O, ~9 b8 p" `; Q
6 b0 s1 y' y/ {! z* j4 R+ O$ v! X* n
) \) \* K) X2 O3 l$ ?" Q+ x/ S* Q
, m, Y. K+ w/ H3.6 v" V; r/ z2 W: b, C
病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe,其中AutoRun.inf文件内容如下:- c- ] x6 i; y5 e" r
1 s4 U" Y) I, P' ]
[AutoRun] h, \, e9 x, `$ L* j
OPEN=ri.exe
" G+ W$ l. m \
# m8 U. i- q1 A& w0 k这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。
5 B, N2 q O2 y l6 `6 ?! _0 s0 A# \4 M1 ]& }# g; x4 ~
# A; B( L& j* ]% V$ h
# ]+ L# G$ b8 N4 h. Y0 T! Y
4.) e; t+ [6 ^/ i( E
病毒运行后,会尝试使用Taskkill /f /im命令关闭以下杀毒软件和安全工具的进程,以达到躲避查杀的目的。6 k0 w# k8 T5 K: ^/ _# l3 r, j
L* X* {5 F0 j3 N$ A/ A
& Y# c- q. p6 G' k! g0 j2 A! u9 X1 G( W; f2 ?
5 c. U7 p0 W4 mNavapw32.exe8 y7 C0 @% Y; ?, l1 ^
Navapsvc.exe8 L' Y0 n: b! H
NMain.exe
) Q- K3 f. L! |4 @2 g8 [navw32.EXE6 J; e( I; J; j; X
KVFW.EXE
& T- C+ ?0 a( n4 @3 oKAVSvcUI.exe4 i2 L+ p8 p" {! O
KAVPFW.EXE7 u+ ^" S4 e$ x' t" j$ m3 ]1 S# B
KAV32.exe2 m2 q: |; M$ u' \
KvXP.kxp; ~9 c' n% U: T( c. e. I! f9 \
twister.exe
; J( Z4 |% Q6 T1 L" i' b% E' TKVSrvXP.exe$ g" G. N5 a3 { s& G
KVSrvXP_1.exe
8 J/ Q5 {/ M |3 k- @...... a& w3 o- P x+ O! t! ^
5. 该病毒具有IFEO重定向劫持功能,病毒通过写注册表中的 IFEO 键值,来阻止一些杀毒软件和安全工具的运行,
7 [' ^+ D. r$ A6 o) G$ q9 v L8 K0 L+ d% f& k3 d
' Z4 P3 [. ]) X# x0 e
添加的注册表键值例如下列:
+ f+ X. v/ o! Y* h8 v6 ~
) k0 p- G& ~6 G[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]% c( E# a+ M5 l& W) v4 ?6 p
"Debugger" = c:\winnt\system32\winfuckjp.exe
' {% O3 ~" c# Y5 q" H; Q. c
p" f& z8 Q% N* v* j2 v" ~共阻止100款杀毒软件和安全工具的运行,详细名单如下:
* Y5 J. i2 _5 {% \
; S; C, R' a! \5 h, a7 q, O3 X# [3 t, y0 h2 Q' \7 e
360rpt.exe! h+ k% K8 W8 r0 j$ ?
360Safe.exe
7 I9 S+ w* V- l) X* T360tray.exe
, g2 q, w# Q- U2 b; [adam.exe {, e; G' e' c$ Y
AgentSvr.exe
- \: Y: N' q* c9 G4 g# n9 sAppSvc32.exe+ n: D2 ]1 j( ?* F4 ]1 v
autoruns.exe
. @4 _+ l+ p( _6 _" @' eavgrssvc.exe$ h$ ?. d) e& [2 w' o
AvMonitor.exe
& ~0 I( ]- c$ h- N$ F% [1 _' D0 t: Iavp.com
6 M' L! V/ E: l# u Q& R( uavp.exe
8 `5 \7 `; L# L- _6 [CCenter.exe
8 i& t9 `8 _' C$ E7 O! n d4 O, |7 X3 c......
# s) u$ S p; ~* |: e' a7 z- ^9 ?$ H" |
6.1 u6 o' h3 E7 T" X$ _& k
病毒修改操作系统的Hosts表,禁止用户登陆反病毒厂商的网址升级病毒库,被修改后的Hosts表文件如下:
/ \8 f ?# P4 S9 `
% R/ u% @+ Y, w8 Y2 z) n* x5 b7 \2 J; Q# y
. s0 Z: J; _+ l2 d' p7 E
, s3 X( I* }+ w _$ l& }127.0.0.1% Y/ V3 r) X& ] h
www.trendmicro.com
. O$ c; l7 o1 p127.0.0.14 M, m3 f" ], }% Y1 h: V
rads.mcafee.com9 b( Y. k! n) M- \# K& W
127.0.0.1: E3 [7 O9 G& r: ~3 Z
www.rising.com.cn
$ j- ]8 _6 E" Q1 L+ K, S; {127.0.0.1
$ q" o$ T6 Q( `9 w" \6 mbbs.2dai.com
& h: E: f2 B' G, @127.0.0.1
+ n/ k" L+ S! `" e: n$ _bbs.abcbit.com( a( ^5 @0 U9 E) c, Y
127.0.0.1
& e) b" K/ E) t4 m% ^: n; T2 z' t8 nwww.freekv.net- X- X* t# N3 `
......5 w, v- W" Y3 @4 ^* R: x$ b
, }" Z5 {5 |0 \2 l F1 Q
这样,中毒用户就无法登陆反病毒厂商的网站升级病毒库。0 U) N; t/ G& y9 ]
9 I7 R4 z. H" B/ ^2 D
: @, _* L3 ~& @ k, ~6 M X7.
, [. R$ Y' W' u$ s# `该病毒还会修改注册表相关键值,来禁用显示隐藏文件的功能。
( y( u5 s1 Y+ F! R! h) z% P5 {
l7 ? I s6 H' J8.9 C. a1 w5 T, r3 [2 k3 ^
该病毒还会修改注册表相关键值,来破坏系统的安全模式,这样中毒用户就无法进入安全模式下杀毒。
8 |, T [( n0 |' ?; j' J! z& M9 _' c3 E1 F9 L; N
9./ a0 q3 t! G7 {+ p$ h* d; T
在病毒文件体内,病毒作者还留言,挑战尚未上市尚在公测时的2008版杀毒软件。如下图
8 E) v1 r1 A; n. j4 P# U& z" w5 S, u* R0 w1 w
病毒运行后,会感染全盘的*.exe 文件,致使系统中毒后将完全瘫痪,并且占用大量的CPU资源,系统无法启动,给用户带来损失。 |
|