-
-
[旧帖]
[原创]对一熊猫烧香变种分析文档
0.00雪花
-
发表于:
2009-11-30 01:21
1941
-
[旧帖] [原创]对一熊猫烧香变种分析文档
0.00雪花
第一次在这里发帖子,如果有错误还望各位大侠多多指教^_^
病毒部分行为:
1:获取自身文件名和指定文件名作比较,不同则判断成初次运行特而避免打开服务之类的操作。
2:删除C:\WINDOWS\system32\drivers\etc\hosts。
3:创建线程,打开RESSDT服务,在创建的线程回调函数里通过FindResourceA和LoadResourceA获取自身副本信息,然后创建文件,并讲病毒副本信息写入到文件里去以生成病毒副本c:\z.tmp和c:\z1.tmp。
4:通过系列函数提升自身令牌权限,并且写入部分注册表,创建进程快照枚举进程,关闭指定的杀毒软件进程。
5:检查自身路径,如果不正确就在指定的路径下创建一个文件,然后将自身拷贝到指定的路径下运行,同时将自身进程结束。如果路径正确则跳走这一步。
6:通过SetTimer设置了5个回调函数,其作用分别是:
每隔60秒扫描关闭一次指定的杀毒软件服务使杀毒软件失去效用。
每隔1秒钟将自身写入指定的注册表使其随开机启动
每隔1800秒下载指定的木马并且运行
每隔10秒钟再次下载木马并运行同时删除网络共享
每隔3600秒打开ie
IE页面为:"http://s31.cnzz.com/stat.php?id=1212190&web_id=1212190"
下载的文件首先下载文件http://www.qq.com.aaadmin5.com/tion/test.txt
然后读取内容再下载指定的文件并运行,由于该链接已经失效故无法得知其下载的是什么文件。
7:感染电脑上指定的文件,并攻击局域网用户,其中感染类型为:exe,SCR,PIF,COM,htm,html,asp,php,asp,aspx但是某些指定的文件夹内的文件不做感染,其中有"WINDOWS" "WinRAR""WINNT""system32""Documents and Settings""System Volume Information""Recycled""Windows NT""WindowsUpdate""Windows Media Player""Outlook Express""Internet Explorer""NetMeeting""Common Files""ComPlus Applications"""Messenger"""InstallShield Installation Information""MSN""Microsoft Frontpage""Movie Maker""MSN Gamin Zone".同时也不感染超过2M的文件和系统盘下的NTDETECT.COM文件。另外攻击局域网是使用TCP协议,采用139和445端口进程攻击。
8:此变种不同以往的熊猫烧香不再删除GHO文件,也就是说中毒后仍然可以通过还原来恢复系统。
分析文档见附件(其中有病毒文件需注意)
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课