|
|
 ; O! e, @% h; }4 M1 s' {. Y
$ h" k9 u0 E0 h$ g1 d
+ Y" k# m, M4 f' d# W+ Z4 H& ]7 N; t) K0 n& D. r7 z# T; y7 D' G
先看看主体的头像.. 好恶心..
! q" Q% B7 X5 y. a- S% \1 d! g+ d7 g$ H D
样本编写语言:Borland Delphi 6.0 - 7.0! j; T. x! Z3 E( L: l6 ^/ L/ d
加壳方式:UPX `6 G4 d" p# H0 T' C' @
0 P; ?+ i7 {0 N* _
好象今天刚出生的"宝宝" 几乎杀软都不报.+ _0 B, e3 }8 ^! A: i* j- a8 ]
: B/ k) o% V* I; _0 D: b( @病毒运行5 r3 _, |6 a6 |1 k9 a% m+ P! W6 E; D% {
释放文件
4 K0 ~8 k! K+ J; h( T2 c* z/ H7 {. z) @C:\WINDOWS\system32\Supervise.exe
" ^& u2 h. x8 ?1 }4 wC:\WINDOWS\system32\Death.SiShen
g! Y5 ]$ d9 u0 dC:\WINDOWS\system32\Death.exe, u7 M! A; V+ C
7 A2 g0 f( j( q' e2 N! J: T5 n
C:\WINDOWS\system32\Death.SiShen
0 m% } G3 |1 T8 J& G) P+ d内容为:- g9 W9 }0 O: z
[Autorun]4 k) j$ [% h) \
OPEN=SuperDown.EXE G/ O) C: E% n/ P3 Q* n5 w
shellexecute=SuperDown.EXE+ K1 ?9 J9 f, l
shell\Auto\command=SuperDown.EXE & D# ~- A+ z O4 |
7 n: `. s! Q# \- j创建启动项& Y% c; s6 ~5 E, [2 k& \9 m3 W
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]. v% i( o+ D" g: y" A' F; P
"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
# F' N8 _& u6 M( t
* H( a# m- E8 L& J- C[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]' [% ?( X$ p2 u x$ P, m \) G" b
"Death.exe"="C:\WINDOWS\system32\Death.exe"6 a, {- {: y) n ~9 s: G. f3 u
- D, A' D' u% k m: V
修改 显示文件和文件夹 注册表
' o. Z6 s8 m0 |7 f( q[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]! n& K% N* B& S; W* f% X
"checkedvalue"=dword:000000003 b9 d m1 ~; N l
& I" e1 h3 \4 J) `尝试关闭窗口' | L* n/ c {
symantec antivirus 企业版& Q& F j5 i0 |7 i% w: P
江民杀毒软件 kv2006:实时监视
7 Q( k3 o8 B% E( mravmonclass' i, p; t. W. T5 T# d$ e
tflockdownmain# {# M: W) l7 x- p' ]
zonealarm/ q( P1 X) L, Q7 s, K6 o
zaframewnd/ U. ^* j8 X8 @
天网防火墙个人版
, o! c/ ^- @3 h0 Rtapplication$ J8 \" f' X- g
天网防火墙企业版. Q8 x! R( V) D+ _# T3 `
tapplication
' u# _5 C6 `4 u$ I6 S2 jvirusscan
' F- S8 d& G% G. Dsymantec antivirus% D' q* ^' t# c" y: E
duba
; Z, U1 c3 k9 o) owrapped gift killer
8 T, p, M9 X0 m2 B" l" Ricesword( x# l. Y L9 X/ `
pjf(ustc)& W! L5 A8 ~1 ^: \1 S+ M8 n
tform1
8 U, ^, m/ u S0 G L3 v, _$ H. m9 M4 y噬菌体+ ~" |3 M* J$ e% E
木马克星
& y! w; ^ ?8 c& t( }0 n! g' u6 a' W
尝试关闭进程
/ g5 s/ x' ]) `, d; _3 ]0 peghost.exe5 A' `2 w( p" r3 d& L
mailmon.exe
9 R7 \, i( ^& N& pkavpfw.exe
8 o; L) S! |1 `# V' u! Z1 v2 h# _iparmor.exe0 G8 M1 l; @! {0 C; |( [
_avp32.exe
& [5 {" _4 n8 }_avpcc.exe
! i2 \* V9 i# w/ r8 J8 X7 |_avpm.exe
5 g' k& F3 K$ Z5 p2 Wavp32.exe: ^3 j) T. A) s
avpcc.exe
! `& y/ o" n1 u1 R, qavpm.exe, ~1 a) \; i$ n! t% M+ m; [
avp.exe
6 `" X A9 V0 O7 @) u$ ynavapw32.exe8 ?$ N* u$ o/ V
navw32.exe4 P( s$ m& U% x4 x
nod32kui.exe
' I) Q. _# \; z2 F5 e9 Rnod32kru.exe2 G; C0 ]5 F: l, }
pfw.exe, j. p }8 H% D' O: _! A" e/ R
kfw.exe
! p& w. N Y) Nvsmon.exe4 }1 y3 M8 Q% i0 s6 _% U0 n
mcshield.exe
+ e0 D: l) C9 x9 a7 `& [vstskmgr.exe2 N0 g0 _" i! k2 d6 L. @; \
naprdmgr.exe
7 @% f9 z) h. k# k! g" j, Oupdaterui.exe* M/ u$ [) z3 @* R! `/ G8 I# e% O
tbmon.exe
3 I$ t, `8 @+ y/ J+ Y& Bscan32.exe
: U" I3 o* ^, j9 I. S% cravmond.exe
2 k& c) v* Y- ^ccenter.exe$ Z4 z9 C5 R7 U" N @9 h5 O
ravtask.exe
B( w/ \; r7 Srav.exe
; X" A# r5 P+ a$ S1 q* n) ?5 H5 Cravmon.exe
8 D" p" S5 B7 n- N6 V$ ~# h Cravmond.exe
! L/ C: @" a* a, uravstub.exe& b& d% m6 z" P' x
kvxp.kxp
. n! k+ `5 |5 [kvmonxp.kxp; |% g; t3 O$ o& C
kvcenter.kxp8 P$ A4 C# Z8 g
kvsrvxp.exe( k4 s) s, h% } y$ N; n( |" C4 F
kregex.exe
6 ]; L* R2 T6 Uuihost.exe
/ x! J$ ], X9 e. u( dtrojdie.kxp
( D P3 `" }; N; Y& Qfrogagent.exe
, z+ P1 w7 p6 Q) s |logo1_.exe
- W- f$ @/ E/ alogo_1.exe% _% Z, ~ ~0 d6 u# {. j7 I! F
rundl132.exe
8 s& e9 y8 f3 ~! C: X odeath.exe (说明:自身副本); l! Y1 s$ h; m) H3 ?
- t, H" E$ R: I: f% l/ y- _0 O6 ?
搜索感染除系统盘以外的 .exe/.scr 文件.3 Z c" f1 [2 d1 Q- ^2 o
受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 ..这样一来所有的 .exe/.scr 文件全部无法恢复.
6 z* x" w# V; |. t1 Z. d! z) z+ h/ t6 v! X4 J9 k* h
同样通过区域网传播(death.exe)
$ W( O8 [- `4 z/ O2 |" s4 w% A4 r5 {7 E/ l, b
还删除了一个注册表,测试时候没删除. m4 h" L+ I% D: x [. S1 O( I
software\microsoft\windows\currentversion\uninstall\密码防盗专家 综合版; F( V3 G/ ], k5 G
# `# n2 S) S2 M4 {$ _. V& m' |1 o+ t4 R3 b# `% T+ Z
请大家提前做到防护..=.= 又是一个可能成为"熊猫烧香"接班人的病毒..
6 P# z4 \% T) B" S9 i
, ]1 c+ l7 {! K6 h8 H" ~熊猫带了个好头..都跟着学吧..今年的趁势,企业;网吧 今年麻烦就特多咯..9 Y- F- u$ k! }/ o& I. H, O
$ V7 `" i" {% T! D) v9 Y; _用猫叔的话说:防毒胜于杀毒 |
|
IP卡
狗仔卡
发表于 2007-2-1 09:28:07
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主
发表于 2007-2-1 10:46:51
