Do Note

儒道佛魔修心地

关于Worm.Viking.bo(熊猫烧香变种 spoclsv.exe)病毒的查杀经历


一、病毒特征
病毒名称:Worm.Win32.Delf.bf(Kaspersky)
病毒别名:Worm.Nimaya.d(瑞星) Win32.Trojan.QQRobber.nw.22835(毒霸)
病毒大小:22,886 字节
加壳方式:UPack
样本MD5:9749216a37d57cf4b2e528c027252062
样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
CRC-32: DE81BD8A
发现时间:2006.12.25
更新时间:2006.12.28
传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播

二、技术分析
Worm.Viking.bo为****Jack*.**e的变种,病毒运行后复制自身到系统目录下:
%System%driversspoclsv.exe
创建启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
“svcshare”=”%System%driversspoclsv.exe”
修改注册表信息干扰“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
“CheckedValue”=dword:00000000
在各分区根目录生成副本:
X:setup.exe
X:autorun.inf
autorun.inf
内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shellAutocommand=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享
[Copy to clipboard]CODE:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:WINDOWS
X:Winnt
X:System Volume Information
X:Recycled
%ProgramFiles%Windows NT
%ProgramFiles%WindowsUpdate
%ProgramFiles%Windows Media Player
%ProgramFiles%Outlook Express
%ProgramFiles%Internet Explorer
%ProgramFiles%NetMeeting
%ProgramFiles%Common Files
%ProgramFiles%ComPlus Applications
%ProgramFiles%Messenger
%ProgramFiles%InstallShield Installation Information
%ProgramFiles%MSN
%ProgramFiles%Microsoft Frontpage
%ProgramFiles%Movie Maker
%ProgramFiles%MSN Gamin Zone
将自身捆绑在被感染文件前端,并在尾部添加标记信息:
.WhBoy{原文件名}.exe.{原文件大小}.
这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
***
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root

三、清除步骤
1. 断开网络
2. 结束病毒进程
%System%driversspoclsv.exe
3. 删除病毒文件:
%System%driversspoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:setup.exe
X:autorun.inf
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
“svcshare”=”%System%driversspoclsv.exe”
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
“CheckedValue”=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
四、专杀工具
瑞星专杀http://download.rising.com.cn/zsgj/NimayaKiller.scr
五、查杀过程记录:
1、任务管理器、注册表、Msconfig打开后,自动结束进程
2、EXE文件受感染,文件前0X7000内存地址受感染,文件末端27字节被病毒附加
3、除AVG外,瑞星等四种防火墙被关闭
4、无法查看隐藏文件,当设置隐藏文件可见时,按“确定”后,自动钩选“不显示隐藏文件”,并且在%System%WINDOWStaskman.exe (小写,非正常的TASKMAN.exe),删除后,重复操作,文件自动生成。
5、boot.ini被破坏,开机后,无法进入正常模式或安全模式,计算机重启。
6、更改BIOS,让电脑无法从光驱引导
7、在%System%下生成NTDETECT.com
8、CPU占用率急剧升高
9、U盘右键菜单出现Auto,格式化有效
10、发现:可疑文件、进程、注册表项如下:
目录:
%System%WINDOWSSystem32hkcmd.exe
%System%WINDOWSSystem32spoolsv.exe
%System%WINDOWSSystem32driversspoclsv.exe
%System%WINDOWSSystem32driverswmiprvse.exe
%System%WINDOWStaskman.exe
%System%WINDOWSwinidump.exe
进程:
spoolsv.exe
spoclsv.exe
svchost.exe(2940K,NETWORK SERVICE,Adminatrator)
savedump.exe
ctfmon.exe
conime.exe
hkcmd.exe
wmiprvse.exe
启动项:
svcshare.exe
spoolsv.exe
ctfmon.exe
HotkeysCmd*.**e
MsConfig.exe
注册表:
HKEY_CURRENT_USERSOFTWAREMicrosoftSearch AssistantAcmru5603
HKEY_USER.DEFAULTSOFTWAREMicrosoftWindowsCurrent VersionRunctfmon.exe
HKEY_USERS5-1-5-19RUNctfmon.exe
HKEY_USERS5-1-5-20RUNctfmon.exe
^^^^^^搜索:taskman;svcshare;spoclsv;hidden…

注:使用瑞星Nimaya专杀工具,可以清除病毒,但是发现在被感染的exe目录下,都会生成Desktop_.ini,文件内容为病毒生成日期,并且默认情况下无法查看Desktop_.ini,只有通过修改注册表[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSuperHidden]
“CheckedValue”=dword:00000001
才可查看并进行删除操作。


One response to “关于Worm.Viking.bo(熊猫烧香变种 spoclsv.exe)病毒的查杀经历”

  1. […] 第一次的合作,要感谢当年闻名于世的熊猫烧香病毒。依稀记得当时在学校那个Low得不行的机房里,我们发现了一个全新的病毒变种,这一变种可以逃过当时所有市面上杀毒软件的查杀。追随不服输的Sheldon,我们通过几天几夜的不懈努力,终于找到了手动解决这个病毒的方法。 […]

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.