詳細剖析熊貓燒香病毒及解決方案

C 變種版本

Author:LoveBoom

EMail:Loveboom@163.com

URL:www.Loveboom.net

一

【工具】:Olydbg1.1、IDA 5.0

【任務】:病毒分析以及解決方案

【操作平臺】:Windows 2003 server

【作者】: LoveBoom[DFCG][FCG][CUG]

【鏈接】:N/A

【簡要說明】:關于這個病毒，我想很多朋友都知道，這個病毒在2007 年初鬧的比較兇，很多朋友曾

經中過這病毒。這次我給大家?guī)淼奈恼戮褪侵v講這個病毒?？纯催@病毒到底是怎么回事，我們應該怎么去處理這病毒。

【病毒分析】:

概要:這病毒我最早在10 月底時接觸，那時這病毒并沒有現(xiàn)在這樣流行(也許是病毒剛出來吧)。曾經幾個月的發(fā)展，前幾天從同事那拿了幾個新變種看了會，發(fā)現(xiàn)病毒和早期的版本相差比較大。根據(jù)病毒的差異，我自己將病毒分為:ABCD 4 個變種。各變種的不同處如下:

A 病毒將自身復制為%System32%FuckJacks.exe,然后感染除特殊文件夾之外的文件夾中的可執(zhí)行文件。

B 病毒將自身復制為%System32%Driversspoclsv.exe,感染時在c 盤根目錄下生成感染標記文件。

C 病毒不再感染用戶系統(tǒng)中的可執(zhí)行文件，而是感染用戶系統(tǒng)中的腳本病毒(這樣的危害更大)?在每個感染后的文件夾中寫下感染標記文件。

D 感染用戶可執(zhí)行文件時不再使用A 和B 版本中的直接捆綁感染。用戶中毒后可執(zhí)行程序的圖標不改變(a 和b 版本感染后可執(zhí)行文件的圖標都變成熊貓燒香)。

今天我分析的就是C 版本(下次有空我將整理出A 版本的分析資料),小版本可能會有所不同，因此如果你發(fā)現(xiàn)你機器上的和我所述的相似但不完全一樣也是正常的。

中毒表象:以下幾個特征為中毒的表現(xiàn):

１、在系統(tǒng)中的每分區(qū)根目錄下存在setup.exe 和autorun.inf 文件(A 和B 盤不感染)。

２、無法手工修改"文件夾選項"將隱藏的文件顯示出來。

３、在每個感染后的文件夾中可見Desktop_.ini 長度為12 字節(jié)的隱藏文件(這個和Viking 病毒一樣)。

４、機器上的所有腳本文件(*.htm?*.html?*.asp?*.php?*.js?*.aspx)中存在以下代碼:

'

５、中毒后機器上的常見反病毒軟件無法開啟和正常使用。

６、無法正常使用任務管理器、icesword 之類的系統(tǒng)檢測工具。

７、進程中可以找到偽系統(tǒng)正常進程的spoclsv.exe 病毒進程。

８、系統(tǒng)自啟動項中有病毒添加的注冊表自啟動項。

９、無故的向外發(fā)包、連接局域網中的其它機器。