潜龙网潜水论坛

原文地址:http://www.ynsjdj.gov.cn/bbs/showpost.asp?threadid=1552

熊猫烧香病毒（FuckJacks.exe）分析报告
好不容易拿到一个熊猫烧香病毒（FuckJacks.exe）的病毒文件。立马在虚拟机里进行了测试。下面是详细的测试结果。

病毒名称：Trojan-PSW.Win32.QQRob.ec（Kaspersky）
病毒别名：Worm.Nimaya.a[尼姆亚]（瑞星）
病毒大小：30,465 字节
加壳方式：FSG
发现时间：2006.11
更新时间：2006.11
关联病毒：
感染文件：感染EXE、SCR、PIF、COM文件
传播方式：通过恶意网页传播，其它木马下载，可通过局域网共享、移动存储设备等传播。

==========

exe主程序变为熊猫烧香图标，运行后复制自身到系统目录：
%System%\FuckJacks.exe

创建以下自启动项：
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
病毒会删除“安全中心”的相关注册表。

在各分区根目录创建副本：
X:\autorun.inf（利用系统自动播放达到启动目的）
X:\setup.exe


autorun.inf内容：

[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
＝＝＝＝＝＝＝＝＝
(http://www.qf86.net/attachments/2006/11/6_200611271539491.jpg)
除系统目录外，病毒会覆盖或者修改掉正常的程序，当EXE程序的文件名第一个为数字或者字母a-d（A-D）时会立刻进行覆盖或修改，其他文件名的程序会慢慢侵蚀。
病毒将自身捆绑在exe文件前端，并在尾部添加标记信息：WhBoy{原文件名}.exe.{原文件大小}.
被感染exe文件运行后释放前端病毒文件到%System%\FuckJacks.exe，并使用bat批处理将后边原始exe文件“还原”，bat批处理内容：

:try1
del "file.exe"
if exist "file.exe" goto try1
ren "file.exe.exe" "file.exe"
if exist "file.exe.exe" goto try2
"file.exe"
:try2
del %0
＝＝＝＝＝＝＝＝＝＝＝

搜索局域网共享，以暴力破解局域网用户弱密码方式传播自己，成功后将以GameSetup.exe的形式传播。：
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root

尝试删除隐藏管理共享：
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y

尝试结束以下进程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl123.exe

关闭以下窗口：
QQKav
QQAV
VirusScan
Symantec AntiVirus
iDuba
esteem procs
Wrapped gift Killer
Winsock Expert
msctls_statuar32
pjf(ustc)
IceSword


删除以下启动项：
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse

禁用以下服务：
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc


＝＝＝＝＝＝＝＝＝＝

清除步骤

1. 断开网络
2. 结束病毒进程
%System%\FuckJacks.exe
3. 删除病毒文件：
%System%\FuckJacks.exe
4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：
X:\autorun.inf
X:\setup.exe
5. 删除病毒创建的启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
6. 修复或重新安装反病毒软件。
7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件。

＝＝＝＝＝＝＝＝＝

附：瑞星  尼姆亚（Worm.Nimaya.a）病毒专杀工具
下载页面：     http://it.rising.com.cn/channels/service/2006-11/1163505486d38734.shtml

都几烦， ;D ;D ;D

好复杂....晕低....