|
|
) I6 _* ~/ X8 S( a9 M1 U5 I. R8 O
3 U! `, |( q( _; \/ r( `& s) l7 J! P. _ ]
先看看主体的头像.. 好恶心.., H! D8 G: J3 F. @( ~! v
: P; w( A6 u9 q4 l' d
样本编写语言:Borland Delphi 6.0 - 7.0
6 q" n* P8 }5 F6 `* _加壳方式:UPX
1 z4 Y9 \8 ?/ R M5 n
+ [, _* J2 @5 N S/ W好象今天刚出生的"宝宝" 几乎杀软都不报.3 ]; |6 Y& O2 p9 p: d$ [4 C0 \
' L# P1 w: C; J1 B# l! f3 D
病毒运行# q$ Z3 c$ U2 C/ D6 n
释放文件- F( \" Z* \# v h0 M& t" o
C:\WINDOWS\system32\Supervise.exe
' E) p+ W7 Y9 ~/ L7 `# T. q! JC:\WINDOWS\system32\Death.SiShen2 G# ?0 m$ e& m, K3 D& w8 k
C:\WINDOWS\system32\Death.exe
( _- M% C' [; q1 ]( t% B" e$ V5 e$ ^" C4 N! \+ t4 i
C:\WINDOWS\system32\Death.SiShen
2 {' i$ O% X( F- U2 e: D内容为:
, w* m& q1 W t" P0 q[Autorun]
4 [. }* Z" X4 e2 uOPEN=SuperDown.EXE7 u8 t/ ?7 [; B& s
shellexecute=SuperDown.EXE
0 v' J8 r3 W# K% m6 X/ sshell\Auto\command=SuperDown.EXE
! E- h( C# T! h# i& G3 t0 G
$ c2 i+ k5 C- M% L2 a( |3 L创建启动项) s, J2 f% B* C/ E8 B" P1 z
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]+ R8 A) ^# P8 ~ N, T
"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
% }+ H2 Y* {! I% D5 b9 G
3 T9 l' `- g d[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]5 D& i8 z2 ]" L, I5 h
"Death.exe"="C:\WINDOWS\system32\Death.exe"7 d. P! R; c2 A: M6 b6 i5 s
2 o- ~# B" J# {; ]修改 显示文件和文件夹 注册表
0 e4 o4 v6 o$ q: o# ?5 G[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]2 I' r+ P8 w# B$ Z! @! w
"checkedvalue"=dword:00000000- i$ e& V3 {# R1 o& m; s/ `: W
# x6 @; V' u' N. P d5 h尝试关闭窗口
0 y% G3 ~1 p( x/ a' r. e1 T8 Q+ {- ]symantec antivirus 企业版0 I* z: R& c; o+ R9 s8 g8 w
江民杀毒软件 kv2006:实时监视1 v _! `2 q6 e" G
ravmonclass# C7 I6 m$ ~- ~% f+ K
tflockdownmain
R9 b$ b9 k: d$ z' Bzonealarm& ]4 w# a8 m: V- a. b
zaframewnd
9 c6 b9 O: z4 a+ i( E6 ^: K天网防火墙个人版9 w+ S3 y% U: c$ ~
tapplication% P/ R6 o3 o# \
天网防火墙企业版& p- d; d0 x0 g7 q
tapplication
6 G7 ?$ Z! S. E( @" j& w. Q8 Lvirusscan8 r* u! q r' v. U. U
symantec antivirus
& P1 ?$ g: B' U9 W8 v6 vduba
" q3 Y' x. x0 {, }. C2 cwrapped gift killer
1 R- ~3 T9 t" Y' b! ?! }icesword8 d( R5 e2 B* U. s' \
pjf(ustc)
1 P/ }: U" |- y8 ]0 O( |( Htform1& a* O! b D: g# q4 f
噬菌体# j( }# L8 D" f' N
木马克星& k- ?8 r! B5 d6 i7 [
4 x# B1 ^' Z% [. _6 j1 q! v
尝试关闭进程$ N& q! |. I4 t( D5 x
eghost.exe. b. `: w7 o& ?& u) p, W) R
mailmon.exe% t; ?# B. k* ]' ?, v. x) t0 `
kavpfw.exe% W1 f+ s1 G# n! ^
iparmor.exe4 q, q9 u! a# b+ l- J& |5 v& R& E
_avp32.exe' [) J7 q$ _7 a. t' P) ?
_avpcc.exe
E/ e/ Q7 S, x7 K; I$ q, {_avpm.exe
8 v1 S8 u F6 _9 z/ S& r1 w! m: oavp32.exe
" H& \8 K! O( m* `( uavpcc.exe+ J' W& K: a8 t6 V" x; G) k
avpm.exe
2 U+ W: G, _( s0 G: f L! Vavp.exe, c8 [1 }/ }$ q4 O+ ]9 G { ~
navapw32.exe5 m2 ^. z% t: g! |
navw32.exe9 l! _* A9 m. k
nod32kui.exe4 M3 ~6 @, Q; Y5 m9 Z8 U
nod32kru.exe
. G* f$ n7 I& ~5 _& ?' bpfw.exe, P; {8 s3 V C
kfw.exe
0 _# P5 g3 G1 Z# dvsmon.exe
! r# b+ |8 K# B( e2 Z# l$ X8 `2 J& \mcshield.exe
6 b; a; {; ^* {( Fvstskmgr.exe* Y) Z" S! b$ ~9 I8 r) ?
naprdmgr.exe
4 g! N+ H6 c- c% N' Kupdaterui.exe
7 Q% G) e8 U! e; M' @tbmon.exe0 d9 [( E5 x. G, {6 o9 E
scan32.exe
/ z3 c. O" D* j# b' B; W. N- r- Mravmond.exe! [1 U2 U( C+ {; s9 x1 q& V
ccenter.exe( n" y$ u& Q, `3 [4 b* e
ravtask.exe
* G: ]. w9 E _: Drav.exe g N" }$ J- W
ravmon.exe
5 J1 j% u& w# B3 M5 s6 E9 `$ lravmond.exe" o9 _5 a- z5 ^/ k9 S2 E
ravstub.exe
2 d9 \) _! A6 T) `kvxp.kxp4 X/ L, B8 b" Y( z3 y: S
kvmonxp.kxp
! T- s5 B# L6 V3 [9 b# wkvcenter.kxp
# \# ~# J" u1 \% w7 `* j2 U4 Z7 Jkvsrvxp.exe r% e, l6 @( T9 O1 j; j* K" R/ H
kregex.exe- A0 u8 |& |' A6 A3 ]
uihost.exe: V3 L+ S0 c, G6 ^% l" {
trojdie.kxp$ }; H6 B1 t* m
frogagent.exe' {, ~1 ^5 H1 Y/ A- I3 |- P- r* ]2 a) E
logo1_.exe: f& {, h! c$ U& r4 ~7 J
logo_1.exe6 J) d1 i0 T* L# Q5 z9 B8 S
rundl132.exe9 }7 t, d2 w4 C6 L$ _$ P
death.exe (说明:自身副本)1 T1 f5 E+ ]; T- S9 L9 t2 _, Z
m. r2 y9 u7 _8 X
搜索感染除系统盘以外的 .exe/.scr 文件.' d6 O; k! W. d$ V6 O& C
受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 ..这样一来所有的 .exe/.scr 文件全部无法恢复.- c9 Z# Y. y5 G; `) x: j
2 }* p5 w2 K: d: o/ l2 ]! x, x
同样通过区域网传播(death.exe)
% f+ |* X C" o( F" {! l
- W! ?8 [* p7 r; `还删除了一个注册表,测试时候没删除.
* [2 g0 R+ b9 ]5 I# `software\microsoft\windows\currentversion\uninstall\密码防盗专家 综合版
5 e, c- z0 \4 @' U" ?2 g, I6 q5 ?# Q7 Y' I! b& v
: D, `0 d; F3 I. r8 ^
请大家提前做到防护..=.= 又是一个可能成为"熊猫烧香"接班人的病毒..9 {8 g' A! x6 m5 a
' L1 }, }. a8 w* h( ` w0 W6 a
熊猫带了个好头..都跟着学吧..今年的趁势,企业;网吧 今年麻烦就特多咯..
, G |1 Y. k4 l( ^# d. B; l/ a2 S( m/ q9 G: `
用猫叔的话说:防毒胜于杀毒 |
|
IP卡
狗仔卡
发表于 2007-2-1 09:28:07
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主
发表于 2007-2-1 10:46:51
