又抓到一只通过局域网传播的蠕虫,再次提醒网友加强防护.(转贴)

风伊翼

$ O# G0 P$ E2 a" E. d* m
) N) m6 c1 F& G! p

先看看主体的头像.. 好恶心..

样本编写语言：Borland Delphi 6.0 - 7.0
2 V# ]) p( \) Y" r: `$ e% ?3 I加壳方式：UPX
, @& |1 q; K2 @% o
/ x1 @$ `: ]3 F0 x8 ?3 \1 c好象今天刚出生的"宝宝" 几乎杀软都不报.

' e3 P$ U7 G# }* d' ~8 A$ [* O病毒运行
释放文件
! L* p6 \0 U7 o( h: wC:\WINDOWS\system32\Supervise.exe
C:\WINDOWS\system32\Death.SiShen
" L* x) G: B0 S" p; W, z6 ^C:\WINDOWS\system32\Death.exe
/ b3 w7 R' E, y6 y) y$ @4 ]4 l1 I
( A) H# }/ B* e& dC:\WINDOWS\system32\Death.SiShen
内容为:
[Autorun]
7 ^, `5 E0 J9 W& O& `6 uOPEN=SuperDown.EXE
4 A7 G+ L  a; a' |shellexecute=SuperDown.EXE
5 e2 |" x' p% Z' dshell\Auto\command=SuperDown.EXE

* P/ q- C/ u- `% z# u: y创建启动项
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
' ]; |' A1 x( d8 x$ d) Q"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
% D6 _6 `7 [( [$ @
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
& |+ t5 q+ x7 g" u6 n: e5 d; m"Death.exe"="C:\WINDOWS\system32\Death.exe"
' [6 c' I$ Q+ [6 u
修改 显示文件和文件夹 注册表
/ U+ q  u6 c" |: A+ ^( V4 a[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
8 f9 a6 `6 k2 g8 l* R4 o8 Q7 ]"checkedvalue"=dword:00000000

尝试关闭窗口
  g9 f7 a: H( B! n0 w% D. E" e$ gsymantec antivirus 企业版
; v7 U* W; y6 T江民杀毒软件 kv2006：实时监视
ravmonclass
; J1 J8 m2 U# F$ I3 {tflockdownmain
/ h' s2 I0 F8 J; X; H, m$ g0 lzonealarm
7 V$ L+ N3 T5 B9 Rzaframewnd
, q2 `  O; B3 x  K: @; Q; o天网防火墙个人版
tapplication
天网防火墙企业版
* v# Q  l6 D3 Z3 }+ h  btapplication
virusscan
; W  r/ y0 _! i- r' s) V, ?6 Vsymantec antivirus
5 b" Z4 t% Q' S) t: V2 fduba
. H% q2 N" L3 p3 {9 ]wrapped gift killer
/ {0 D% @; F6 H# }icesword
" v7 j; G$ f/ l5 f, ^5 p6 N1 L7 w7 opjf(ustc)
$ D2 J: `, K$ Z( W4 s8 stform1
5 v. Z) C0 f) y3 v噬菌体
4 G6 i3 }( M8 B$ p' A1 Y7 |4 i木马克星
/ x  Y1 H1 ^9 V( W1 T! k7 F
尝试关闭进程
eghost.exe
mailmon.exe
kavpfw.exe
7 J2 M' m! ^2 l! w6 o% \* B& Iiparmor.exe
_avp32.exe
_avpcc.exe
0 Z% I- e9 E+ x2 O+ ~7 d_avpm.exe
avp32.exe
8 x$ Q. s$ r9 W; savpcc.exe
avpm.exe
avp.exe
navapw32.exe
6 {2 Q6 x! Q" z- z7 w) R0 {navw32.exe
nod32kui.exe
nod32kru.exe
pfw.exe
9 S- K4 R$ S( z$ \& x2 @! N% rkfw.exe
2 G6 l% X2 w; p5 u( i( L: uvsmon.exe
mcshield.exe
vstskmgr.exe
, ?4 U" o0 p+ X1 H9 X' y9 C1 ]7 [naprdmgr.exe
updaterui.exe
# }7 d) p: {, _" ytbmon.exe
scan32.exe
/ l& j- |3 k/ r, N. `% J) Zravmond.exe
: ]$ m7 {$ v2 U6 B1 jccenter.exe
$ i, h$ }; ?/ }  G- @' Rravtask.exe
! p* n+ \$ X2 w# k: crav.exe
ravmon.exe
8 b8 N  }. L1 w% mravmond.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
2 N# }3 U! C- a8 bkregex.exe
uihost.exe
trojdie.kxp
frogagent.exe
- ?! X9 |$ j% M/ glogo1_.exe
( |! O7 P) z* s/ w5 hlogo_1.exe
! ~0 F/ {& W0 c$ R& N: q1 Wrundl132.exe
* Z" V/ S  R1 W6 K5 V6 ?7 N* E5 ndeath.exe (说明:自身副本)
& R6 Q+ H1 }0 Z2 Q, r7 u+ ?" p
搜索感染除系统盘以外的 .exe/.scr 文件.
受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 ..这样一来所有的 .exe/.scr 文件全部无法恢复.

同样通过区域网传播(death.exe)
0 _! V: C% L% c7 Q; h/ ]
还删除了一个注册表,测试时候没删除.
software\microsoft\windows\currentversion\uninstall\密码防盗专家 综合版
8 u; @* p! P1 u' M% h$ g

; F3 N- l  |8 W* A) T% ]2 i0 f: W请大家提前做到防护..=.= 又是一个可能成为"熊猫烧香"接班人的病毒..
/ J7 p7 s5 A7 b% @
熊猫带了个好头..都跟着学吧..今年的趁势,企业;网吧 今年麻烦就特多咯..
" E( ^; }* r) B. H* f
) v' J# L" N3 |8 K( W, G' V: y& }用猫叔的话说:防毒胜于杀毒

τáο滊娃娃

毒毒毒...............
0 T( X: q1 p+ i
8 _- B: G+ Q2 Q3 `- d2 q. o/ E
: K) N/ f1 d  w! Z8 i2 i  我恨..............
/ U# Z+ _7 E/ R+ d% L- X% t
   早上又杀了三个.........:loveliness:

风伊翼

呵呵,杀毒是永无止境的

断孓dě弦

灯泡男子

τáο滊娃娃

原帖由 断孓dě弦 于 2007-2-1 10:46 发表
灯泡男子

1 S& z* L- h- s/ r/ S4 A: Z
! J& `. ?6 p3 y, s7 Z! d
) ]2 M. i1 v3 d# b/ d, R   什么意思啊？???:m15

风伊翼

关于灯泡男子病毒的我上次已经发过一次贴,这次的是不是他的变种就不得知了

aster

防毒胜于杀毒

:loveliness:

风伊翼

可以理解,我就这样,我最懒的就是开杀毒软件杀毒了,慢的半死

B小糖

今天早上一起来IE打不开，我的电脑，控制面版都打不开。。用了系统还原，后来下了个熊猫专杀，想不到还真是中了这个。。。。

风伊翼

这个不是熊猫病毒哦,你如果中熊猫病毒要去安全模式下杀会比较干净

錒噜吧._

呼呼..
% D1 x/ m- Y2 ?9 q, N7 d9 B% P到处都是毒,,,把电脑砸了算了..
- H+ i- B% x9 |6 I% M@$#^!%$@....

◇米囡◇

真恶心

錒噜吧._

:m15
1 d. I& P6 @& s
) `  U9 e! V8 H9 C1 z虾米很恶心!?

◇米囡◇

那头像..

錒噜吧._

= =!!!

/ k# E( U6 W' N. y( J/ p不说还以为是什么游戏类..