|
|
楼主 |
发表于 2007-8-27 21:45:47
|
显示全部楼层
现提供所找到该病毒的分析资料(目前只知道江民8月24日病毒库即可有效防杀此病毒)
病毒名称:Win32/DaXingXing.a s! s3 r/ b* r5 o [' \
中 文 名:大猩猩病毒
0 Z8 G3 h* _+ b- h+ O! T+ a& K1 q) Q& c6 x5 p, z5 O+ }7 m/ C
病毒类型:文件型
; e; i8 @7 g, o: J1 C4 n4 j1 |+ H, a9 C$ g. ~, z3 m
危害等级:★★★
9 t' T3 J( y- p' _
# }& O2 Z- c3 D$ D! i) a影响平台:Win 9X/ME/NT/2000/XP/2003
, ]+ V; d+ v2 k7 l, S病毒样本MD5值为:60f66f0b7312e6eb9a5f2f823c5ff316" `) M7 O+ H$ U1 U
文件大小为:819829字节, e4 d; k a2 B6 D
. l% ~, v6 Q( o
) P! h' \" }. C5 y
Q5 b5 R4 A' i& Y1 i病毒运行特征:
! L* ~5 E O1 Y, Z! T% B
; E& j) m5 f! P$ z5 }2 @, f F
7 G) K0 r; K2 b0 F1 M7 A+ A1.
5 P5 @) V, b+ uWin32/DaXingXing.a6 p8 n& J; B2 Z2 o
大猩猩病毒是一个采用易语言编写的文件型病毒,病毒运行后,创建病毒进程winfuckjp.exe ,该进程采用RootKit技术隐藏自身,用Windows自带的任务管理器察看不到。
$ n/ R0 Z- K% R! x( U
+ ^4 w, k" R. v4 o& c% [ D1 N* c释放病毒文件:
7 S% d" p, e+ G' s- x; x# R# ]# s+ l' H$ a1 r0 q
%WinDir%\System32\winfuckjp.exe, 819829字节/ H+ w! e" Z6 e \6 L, L2 @
; ^: D! v" A# d7 P
) a. q, u3 ~8 ~( g
该病毒还会感染全盘所有的*.exe文件,向文件头部添加7725字节的数据,感染后的文件图标变成一个大猩猩的图标,如下图:
5 ^) a) h1 u. \+ @# z/ p
+ G1 t, D: N& Q. T5 Y1 Y0 N; Q. x
2.& D+ D- M; p h1 D
在注册表中添加下列启动项:
: D/ C( n$ m( h- \ f7 |$ n/ o4 E8 h% z/ b
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
# e& p3 f, J, X! M5 \% U"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe' |, {9 L/ V5 V8 b- ~
这样,在Windows启动时,病毒就可以自动执行。
T0 d. j$ Y3 A5 J
5 N! U/ X' i& _9 ^+ K' T
0 W/ L4 f& m7 H1 ^$ S5 Y$ `" O
8 j# q1 E! a7 m: O' B3.
5 D4 R, \8 p( Q' P& T1 h: ^病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe,其中AutoRun.inf文件内容如下:
! j4 O! e6 |* W' H* `. o: @- G' U3 @: |
[AutoRun]0 ]5 T/ z- C, h7 t6 m# z! a* S' y
OPEN=ri.exe: m& \2 o: J( ?: w6 f; ?+ S
) L- q* o5 j1 Y1 ]$ B6 x; f这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。
# f" O, p4 z) k& Z# e: T) ?: |& O2 d# k
. a2 u/ i7 o0 D3 j9 V N2 ]$ J9 r0 J+ `
4.0 ^& z, [7 x, S8 a" U
病毒运行后,会尝试使用Taskkill /f /im命令关闭以下杀毒软件和安全工具的进程,以达到躲避查杀的目的。
' o h7 I8 K% U E1 g2 }( D- }. y8 a
6 F9 P( i8 _/ R" `7 e- f; ^5 R$ i W7 N; R! O6 D
% \. _) X. e2 d- o$ {% p' wNavapw32.exe E* @! a5 u' N
Navapsvc.exe
v3 m5 U- w$ H, ]9 jNMain.exe1 O7 t' W6 P* u$ N
navw32.EXE w* A6 [, C4 h8 u7 L5 P
KVFW.EXE! @7 M" C8 I w {' ^
KAVSvcUI.exe
- p! m9 }/ v: r* {5 m: G. ?KAVPFW.EXE) v- X) z/ Q! s; D
KAV32.exe
, v$ @# d- w8 r& q4 n+ Q. kKvXP.kxp
{9 D: E% p9 W( o, }twister.exe6 A! G! V" q% I4 E7 A
KVSrvXP.exe- Q; h3 i9 H9 Z6 E, P- o3 D j0 E
KVSrvXP_1.exe" _4 y' Z! s6 N& X" n, v& _/ O
......
* F9 |+ o% f$ m1 J5. 该病毒具有IFEO重定向劫持功能,病毒通过写注册表中的 IFEO 键值,来阻止一些杀毒软件和安全工具的运行,
; C. O8 F3 Q4 a' a* B# E$ i( m
$ e" ^ s) b1 X' W; U. t$ {- @, E" u' ~, _
添加的注册表键值例如下列:5 Z V% g0 B* o9 O* i& d- O
) v9 I5 c& I# E" [2 C
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]
( w: R! t/ i; {"Debugger" = c:\winnt\system32\winfuckjp.exe
7 O- Q( G1 E- K2 n+ \! v/ m4 o, Q6 \2 z
共阻止100款杀毒软件和安全工具的运行,详细名单如下:- E2 C. G8 E% l
* E5 M; v: \, ~5 z4 V7 A7 Z
# t0 F9 M; D4 h+ E5 z( A360rpt.exe
2 \" v( {1 p& g360Safe.exe
% K& ]& S+ G! M; C! U( W360tray.exe0 H2 K0 S0 r- G" R2 w
adam.exe' A5 m# a6 E7 I0 w
AgentSvr.exe
: n2 F: A4 V0 x' @- QAppSvc32.exe" A5 y* s' @9 x$ M3 y
autoruns.exe
. F6 h: V5 q$ |( C2 ^8 R& W" v' javgrssvc.exe# O; [" N* X" S t* T
AvMonitor.exe8 ~% E2 M( b7 H1 h' A, V" P
avp.com
6 R" V1 t/ S( h' a" m" I0 a0 [0 Cavp.exe2 L6 s8 O1 w5 [$ c5 w
CCenter.exe
" U6 _* G+ {% l! _3 c, K7 i6 ?......7 j) I$ Q. p% q5 Z$ v- P
* w/ ]: |+ c+ ]( C! @7 @# s
6.
# G5 M1 `1 I! N! {( D病毒修改操作系统的Hosts表,禁止用户登陆反病毒厂商的网址升级病毒库,被修改后的Hosts表文件如下:
0 m2 h& j7 w% X; i+ I1 _
2 D5 }7 d1 a! u; @, z. r# s5 j% _, E( m1 E* P. I1 V; p" X
$ J" N$ q" {0 I0 q& z, _! z127.0.0.1: {8 O' p9 v; p6 x
www.trendmicro.com
k+ }) u7 w2 i+ O127.0.0.19 |6 o. q* n. `. x J5 ~: Y
rads.mcafee.com1 y" ~+ O% }. K2 g* |
127.0.0.1
9 c r# h, j; {1 _% w! k- Bwww.rising.com.cn
# P; Z4 R) E, {3 ^& ~: `& J127.0.0.1/ c% b3 f5 Z- M# i: a6 Q/ u
bbs.2dai.com
8 x( \" n! s$ p0 l' K127.0.0.1
4 _- i! V3 e2 {bbs.abcbit.com' L* j7 M X. s* _
127.0.0.1
7 {& x+ D1 ^9 } l! d! L+ mwww.freekv.net# Q$ S+ y% @' m+ r
......
* ^7 k& S* t2 i; |1 M/ K. V
1 G1 E! n& `( {, Z& o, W这样,中毒用户就无法登陆反病毒厂商的网站升级病毒库。
1 M8 o* x( j7 D7 D7 S& D8 e1 F P+ _ \$ R/ |) q
) {. k* ?0 M8 h4 k; N8 W
7.
( p! d1 `7 k+ ~1 d9 e+ @7 A该病毒还会修改注册表相关键值,来禁用显示隐藏文件的功能。7 l" K; V% |! m2 K( {+ N
. I6 ?- K$ Y4 k5 t5 o" Z
8.
4 Z/ r& z, A* Z* D" @1 n该病毒还会修改注册表相关键值,来破坏系统的安全模式,这样中毒用户就无法进入安全模式下杀毒。/ L$ J( G8 a7 X4 z/ T" E
7 f* m& }3 x: q5 a1 r6 |9.2 v, `; r0 n6 V0 V5 s- P7 `' T: i
在病毒文件体内,病毒作者还留言,挑战尚未上市尚在公测时的2008版杀毒软件。如下图
r1 G' r) c0 u l/ S0 O
5 b6 ~7 i- t# U Z( l- Y病毒运行后,会感染全盘的*.exe 文件,致使系统中毒后将完全瘫痪,并且占用大量的CPU资源,系统无法启动,给用户带来损失。 |
|
IP卡
狗仔卡
发表于 2007-8-27 06:51:46
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡