吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10856|回复: 29
收起左侧

[转载] 【山寨版“熊猫”继续“烧香”】

 关闭 [复制链接]
Squn 发表于 2008-12-5 17:59
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
熊猫烧香病毒随病毒作者被雪藏而渐渐远离人们的视野,网上有关熊猫的代码流传甚广,比熊猫烧香在隐蔽性、抗杀能力、感染能力、传播能力强很多的木马下载器更多,网上公开的熊猫烧香代码可能被作为某些人写病毒的习作。最近就有好事者在这个基础上写了新的变种,这个山寨版熊猫使用毒霸的LOGO作图标。

以下是这个病毒的详细分析:

一.病毒信息
病毒名:win32.bmw.j.75783
病毒体大小:74.0 KB (75,783 字节)
病毒类型:熊猫烧香变种   

二.病毒行为
这是一个熊猫烧香的变种,伪装成毒霸的图标来迷惑用户,它还会下载其他病毒并执行。
1 病毒会删除安全软件的开机启动项目和服务项目

2 每1秒添加自己的启动项,并将文件隐藏显示注册表键值破坏。

3 每隔6秒在每个驱动器下(A和B驱动器除外),删除所在的autorun.inf文件或文件夹,并创建autorun.inf和对应的   .exe文件

4 每隔6秒停止部分安全软件服务,删除部分安全软件的服务和开机自启动项目

5 每10秒关闭以下进程,并添加映像劫持,指向ntsd -d
avp.exe    rav.exe    rsagent.exe    ravmon.exe    ravmond.exe    ravstub.exe    ravtask.exe    ccenter.exe    360tray.exe    360safe.exe

6 每30分钟下载一次木马
http://www.xxxxxx08.com/down/down.txt

7 病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,且该网页有漏洞,新变种的病毒会被下载并运行.

感染时排除以下文件夹中的文件
WINDOW Winnt winrar system32 Documents and Settings System Volume Information Recycled
Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer NetMeeting
Common Files ComPlus Applications Messenger InstallShield Installation Information   MSN
Microsoft Frontpage Movie Maker MSN Gamin Zone

也不感染NTDETECT.COM和rar后缀的文件

感染后会在感染目录下创建Desk_top_.ini文件,其内写入当前系统时间。

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

lsw000 发表于 2008-12-5 18:20
:L :L :L 哎 又来了
封心锁爱 发表于 2008-12-5 18:22
cshow 发表于 2008-12-5 21:43
haduke 发表于 2008-12-7 12:37
已经遭遇过了,楼主有没有清除方法?
jmzhwf 发表于 2008-12-7 20:50
如果有源代码那就太好了~~~~

不知道被感染的文件还能否执行~~~~

真想学习一下
honiy 发表于 2008-12-7 22:53
“熊猫”又来了,当年第一次中招时,网上还没有专杀和杀毒软件杀得到,搞得格式化硬盘了!现在又回来了
头像被屏蔽
kaiweiok 发表于 2008-12-9 13:07
提示: 作者被禁止或删除 内容自动屏蔽
xuezhir 发表于 2008-12-13 13:05
厉害厉害,看来网络永远都不安全啊
ddm520 发表于 2008-12-14 20:01
太可怕了:'( :'(
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 23:26

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表