瑞星熊猫烧香专杀工具(尼姆雅蠕虫)


Posted on June 10, 2007


“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。

瑞星熊猫烧香专杀工具 
http://download.rising.com.cn/zsgj/NimayaKiller.scr 

江民熊猫烧香专杀工具 
http://www.jiangmin.com/download/zhuansha04.htm

金山熊猫烧香专杀工具 
http://tool.duba.net/zhuansha/253.shtml

熊猫烧香病毒变种 spoclsv.exe 解决方案 
病毒大小:22,886 字节 
加壳方式:UPack 
样本MD5:9749216a37d57cf4b2e528c027252062 
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755 
发现时间:2006.11 
更新时间:2006.11 
关联病毒: 
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播 


技术分析 
================================================== 

又是“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下: 
%System%driversspoclsv.exe 

创建启动项: 
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] 
"svcshare"="%System%driversspoclsv.exe" 


修改注册表信息干扰“显示所有文件和文件夹”设置: 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL] 
"CheckedValue"=dword:00000000 


在各分区根目录生成副本: 
X:setup.exe 
X:autorun.inf 

autorun.inf内容: 
[AutoRun] 
OPEN=setup.exe 
shellexecute=setup.exe 
shellAutocommand=setup.exe 


尝试关闭下列窗口: 
QQKav 
QQAV 
VirusScan 
Symantec AntiVirus 
Duba 
Windows 
esteem procs 
System Safety Monitor 
Wrapped gift Killer 
Winsock Expert 
msctls_statusbar32 
pjf(ustc) 
IceSword 

结束一些对头的进程: 
Mcshield.exe 
VsTskMgr.exe 
naPrdMgr.exe 
UpdaterUI.exe 
TBMon.exe 
scan32.exe 
Ravmond.exe 
CCenter.exe 
RavTask.exe 
Rav.exe 
Ravmon.exe 
RavmonD.exe 
RavStub.exe 
KVXP.kxp 
KvMonXP.kxp 
KVCenter.kxp 
KVSrvXP.exe 
KRegEx.exe 
UIHost.exe 
TrojDie.kxp 
FrogAgent.exe 
Logo1_.exe 
Logo_1.exe 
Rundl132.exe 

禁用一系列服务: 
Schedule 
sharedaccess 
RsCCenter 
RsRavMon 
RsCCenter 
RsRavMon 
KVWSC 
KVSrvXP 
kavsvc 
AVP 
McAfeeFramework 
McShield 
McTaskManager 
navapsvc 
wscsvc 
KPfwSvc 
SNDSrvc 
ccProxy 
ccEvtMgr 
ccSetMgr 
SPBBCSvc 
Symantec Core LC 
NPFMntor 
MskService 
FireSvc 

删除若干安全软件启动项信息: 
RavTask 
KvMonXP 
kav 
KAVPersonal50 
McAfeeUpdaterUI 
Network Associates Error Reporting Service 
ShStatEXE 
YLive.exe 
yassistse 

使用net share命令删除管理共享: 
net share X$ /del /y 
net share admin$ /del /y 
net share IPC$ /del /y 


遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件: 
X:WINDOWS 
X:Winnt 
X:System Volume Information 
X:Recycled 
%ProgramFiles%Windows NT 
%ProgramFiles%WindowsUpdate 
%ProgramFiles%Windows Media Player 
%ProgramFiles%Outlook Express 
%ProgramFiles%Internet Explorer 
%ProgramFiles%NetMeeting 
%ProgramFiles%Common Files 
%ProgramFiles%ComPlus Applications 
%ProgramFiles%Messenger 
%ProgramFiles%InstallShield Installation Information 
%ProgramFiles%MSN 
%ProgramFiles%Microsoft Frontpage 
%ProgramFiles%Movie Maker 
%ProgramFiles%MSN Gamin Zone 

将自身捆绑在被感染文件前端,并在尾部添加标记信息: 
.WhBoy{原文件名}.exe.{原文件大小}. 


与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。 

另外还发现病毒会覆盖少量exe,删除.gho文件。 

病毒还尝试使用弱密码访问局域网内其它计算机: 
password 
harley 
golf 
pussy 
mustang 
shadow 
fish 
qwerty 
baseball 
letmein 
ccc 
admin 
abc 
pass 
passwd 
database 
abcd 
abc123 
sybase 
123qwe 
server 
computer 
super 
123asd 
ihavenopass 
godblessyou 
enable 
alpha 
1234qwer 
123abc 
aaa 
patrick 
pat 
administrator 
root 
sex 
god 
foobar 
secret 
test 
test123 
temp 
temp123 
win 
asdf 
pwd 
qwer 
yxcv 
zxcv 
home 
xxx 
owner 
login 
Login 
love 
mypc 
mypc123 
admin123 
mypass 
mypass123 
Administrator 
Guest 
admin 
Root

清除步骤 
===========================================

1. 断开网络 

2. 结束病毒进程 
%System%driversspoclsv.exe 

3. 删除病毒文件: 
%System%driversspoclsv.exe 

4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件: 
X:setup.exe 
X:autorun.inf 

5. 删除病毒创建的启动项: 

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] 
"svcshare"="%System%driversspoclsv.exe" 

6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能: 
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL] 
"CheckedValue"=dword:00000001 


7. 修复或重新安装反病毒软件 

8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件

标签:N/A

 

在线学习答案查询入口
微信扫码联系
微信扫码联系