|
|
 2 H/ y8 `; y" z+ R% t
8 s- e, w7 v& M1 N b, F$ ~2 V
2 q6 T7 l: ~6 }) O: l3 _9 j z) Z% B$ ], C4 T) ~% O/ Y3 @. z
先看看主体的头像.. 好恶心..0 V3 D! h1 w7 x% v( E8 G" A
+ ~8 {9 Y- H$ Z' ^9 q样本编写语言:Borland Delphi 6.0 - 7.0/ e' @; p' b: a4 u" T# S& d
加壳方式:UPX- K2 h* p! c5 ~
# r5 X* N0 i1 E* Z好象今天刚出生的"宝宝" 几乎杀软都不报.1 n; D% L- q8 h, z
: `# o% G# J; @5 i2 o" X7 ~0 Z
病毒运行
/ z: g8 Z8 G0 V$ ^$ ], U释放文件
0 b- k# N3 D! ~# wC:\WINDOWS\system32\Supervise.exe* j; ^( i X8 D, r8 Z
C:\WINDOWS\system32\Death.SiShen/ w& _. @0 _- E3 M8 @
C:\WINDOWS\system32\Death.exe5 F" O1 ]. j+ K/ E8 _) e d
6 \! L, s B2 N$ E$ `# y% v& CC:\WINDOWS\system32\Death.SiShen
0 J3 z3 D8 o" F. M. }; Z内容为:
: w0 E& w) I3 X- g4 ~/ v# @/ m[Autorun]3 l1 _ A4 K5 |
OPEN=SuperDown.EXE0 X, H* O- g& X! y- W& p
shellexecute=SuperDown.EXE: C+ ]4 a- o" B
shell\Auto\command=SuperDown.EXE ) d, J' @, K5 P0 {$ R) ~" m
4 q: \. X4 Z( J* V* i& z创建启动项
$ L) H$ {: }% H" v3 t[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
/ b+ ~7 v! O& ^) R7 n"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
6 B7 y. Y D5 s' j$ |
6 h7 s) l* c! K$ c* I4 `* o[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]+ J; }( B+ P5 Q$ Z0 ~
"Death.exe"="C:\WINDOWS\system32\Death.exe"3 _/ |9 O* U3 {
9 q$ y; K/ O# U& U+ T0 U. P修改 显示文件和文件夹 注册表" g! I" l$ B% e2 X) L8 E* U
[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
' u$ k3 W, k. Y4 C$ }9 Q6 E"checkedvalue"=dword:00000000 o4 a( ?4 O( N& y1 j$ H
6 K H: D* N, i% t尝试关闭窗口$ y+ q& X5 c r! u$ L
symantec antivirus 企业版' p$ O/ _" P/ N4 _9 Y8 s5 [
江民杀毒软件 kv2006:实时监视3 ^% v! H! L) j& Y! J: U8 T$ l
ravmonclass* w+ r. g q# E
tflockdownmain
1 h& W. r2 H; G6 B" s" u$ gzonealarm
1 u4 {! v' \7 t6 E) Q# ]! b$ Lzaframewnd
3 r' {7 X; `. ~天网防火墙个人版
: [: p+ W* h0 Btapplication, x1 ]0 c o! e
天网防火墙企业版
2 P; c6 f8 b" ztapplication/ K* [' I" w9 Q; g3 _! S2 m
virusscan& t+ F/ ]; j: p4 M: d+ S
symantec antivirus
3 K2 S2 X# M% g. g. oduba
# n9 R! ?( ^& p) M5 K% Mwrapped gift killer7 P, [0 X6 `& h0 _
icesword5 j$ S7 u' B7 w, T4 r* Q+ Z
pjf(ustc)
/ Y g2 q- A. Q$ [+ utform1
: N$ q0 t) p, G噬菌体
. S2 N9 L% ]" G C3 K5 |木马克星
+ n g1 T! e0 t9 f
3 H7 I8 B* m% U3 z9 k& a [" [尝试关闭进程/ [8 T2 o8 r# x3 O9 y7 ], s) g4 z
eghost.exe8 }9 w5 @' ^" B/ A" X4 [" f% s( p/ B
mailmon.exe9 s1 c. m7 u$ ]; b& a5 h3 n, M
kavpfw.exe4 j* R& F0 t4 z' [8 W V! q; T
iparmor.exe
Y- a0 R6 W2 k. X3 {4 M6 D a: x \_avp32.exe
$ Y7 ?: S* a; q4 Y_avpcc.exe
' f# a9 k6 P( W* p, p$ a_avpm.exe6 D- ~( _) M& O
avp32.exe
. R1 v3 \$ h: [9 havpcc.exe% Y9 W% N9 @' V3 }7 b9 u
avpm.exe) Z4 j C/ e+ f0 C, A; O
avp.exe6 U+ }6 W! H; K; X
navapw32.exe- u; g& d, J$ R3 t* Z5 z* l+ t" ]
navw32.exe
1 q# ] U7 l; Z5 L Rnod32kui.exe
9 ~8 W5 R [; d! w2 [nod32kru.exe
7 V4 \7 P2 t4 D8 J% B% x- wpfw.exe5 ]. p4 |. f( k: c' s
kfw.exe6 F5 K D- X( \- Z& s8 ]
vsmon.exe
* P( K4 N4 \" p9 K, lmcshield.exe0 V# D, V; o; z/ \/ c# \+ u N0 L
vstskmgr.exe. i7 Q. G1 |: O2 g
naprdmgr.exe% c' j1 G0 I8 U2 J
updaterui.exe
1 f% T# @% k$ U- ~( \3 atbmon.exe
5 x* P$ a7 m4 f* H7 Lscan32.exe; [0 N+ T$ d( H' q
ravmond.exe/ `5 O Z, D7 M% @
ccenter.exe
! _ N7 @8 b+ ~* o$ {5 _ravtask.exe
4 g, @ b6 n) d7 F1 }# b# f8 [rav.exe
1 W. A5 B. x4 s T8 ^7 Kravmon.exe' K, ?' Q4 T( m% i* u
ravmond.exe
3 l2 b$ ]7 @) K7 h4 `6 travstub.exe9 k: k; I% [, B" P c# y7 I- j
kvxp.kxp
, ^% ~2 F1 S" R5 Xkvmonxp.kxp1 u9 B& h/ j9 ]9 c4 U
kvcenter.kxp# y0 Y8 I8 G; u, @! w& o* B z4 |
kvsrvxp.exe
6 j3 L, o E( S' vkregex.exe3 A- U+ X q& G+ q4 e
uihost.exe6 g2 }7 \3 o f# Y4 W
trojdie.kxp6 M! ?9 C) d: R9 z: Y$ A; T
frogagent.exe) H: t& W) i' @2 r1 u
logo1_.exe
% I; ]+ \" C/ C) V4 t9 T1 v, i2 tlogo_1.exe
" N( a, a6 ]4 `rundl132.exe
( c& c) D- f2 J+ M9 ^death.exe (说明:自身副本)) q& l1 Z3 j9 Y8 u& w# ]2 L* l9 M
5 ?+ \4 ?+ {# H# q# T
搜索感染除系统盘以外的 .exe/.scr 文件.2 I1 ^. p* z& [5 k) F: @
受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 ..这样一来所有的 .exe/.scr 文件全部无法恢复.8 n; K8 ^4 u2 v9 T* I3 A6 w
$ i& k- F& v' b) d/ a1 O
同样通过区域网传播(death.exe)" C3 I7 u- r! u1 Q: S. }
( n e& T! d3 l* \* h# _4 b
还删除了一个注册表,测试时候没删除.
1 {+ U. ~, c7 n$ ~& \5 h! O5 D* p& ysoftware\microsoft\windows\currentversion\uninstall\密码防盗专家 综合版
7 `$ f2 k# U0 y8 l( m$ @" A {
; m. i* R; L9 L0 l! T6 N8 r& P5 G( j
请大家提前做到防护..=.= 又是一个可能成为"熊猫烧香"接班人的病毒.. C8 Q& I" _ ~. k+ v
6 a) S1 z2 g% ^" H1 W: f1 B# a+ y' u
熊猫带了个好头..都跟着学吧..今年的趁势,企业;网吧 今年麻烦就特多咯..
8 ~0 r" _: |$ S
" R. G+ B0 B- n$ ?" d+ @( ^8 u+ c6 {用猫叔的话说:防毒胜于杀毒 |
|
IP卡
狗仔卡
发表于 2007-2-1 09:28:07
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主
发表于 2007-2-1 10:46:51
