El virus "Panda Burning Incense" se ha vuelto popular en Internet recientemente y se ha descubierto que algunas escuelas dentro de la red educativa del distrito están infectadas. Este virus es altamente destructivo y tiene capacidades de ataque DDoS, lo que consume ancho de banda. Ahora se analiza el virus y se proporcionan métodos de eliminación específicos. Se solicita a todas las escuelas que lo prevengan y eliminen activamente.
Número de archivo: CISRT2006081
Nombre del virus: Worm.Win32.Delf.bf (Kaspersky)
Alias del virus: Worm.Nimaya.d (Rising)
Win32.Trojan.QQRobber.nw.22835 (tirano de la droga)
Tamaño del virus: 22.886 bytes
Método de empaquetado: UPack
Muestra MD5: 9749216a37d57cf4b2e528c027252062
SHA1 de muestra: 5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
Hora de descubrimiento: 2006.11
Hora de actualización: 2006.11
A virus asociado:
Método de propagación: se propaga a través de páginas web maliciosas, se pueden descargar otros troyanos y se puede propagar a través de redes de área local, dispositivos de almacenamiento móviles, etc.
Análisis técnico
======== ===
Es una variante de "Panda Burning Incense" FuckJacks.exe, que utiliza un icono de Panda Burning Incense con fondo blanco,
Por ejemplo :
Después de que el virus se ejecuta, se copia a sí mismo en el directorio del sistema:
System\drivers\spoclsv.exe
Crear elemento de inicio:
[Copiar al portapapeles]CÓDIGO:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="System\drivers\spoclsv.exe "
La modificación de la información del registro interfiere con la configuración de "Mostrar todos los archivos y carpetas":
[Copiar al portapapeles]CÓDIGO:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
Generar una copia en el directorio raíz de cada partición:
X:\setup.exe
X:\autorun .inf
contenido de autorun.inf:
[Copiar al portapapeles]CÓDIGO:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
Intenta cerrar la ventana
QQKav
QQAV
Proceso de Firewall Skynet
VirusScan
Net Dart Antivirus
Drug Bully
Rising
Jiangmin
Huangshan IE
Super Rabbit
Maestro de optimización
Trojan Star
Trojan Scavenger
Trojan Scavenger
QQ Virus Registry Editor
Utilidad de configuración del sistema
Kaspersky Anti-Virus
Symantec AntiVirus
Duba
Administrador de tareas de Windows
procs de estima
Green Eagle PC
p>
Antirrobo de contraseñas
Bacteriófago
Buscador de asistente troyano
Monitor de seguridad del sistema
Asesino de regalos envueltos
Experto en Winsock
Maestro de detección de troyanos en juegos
Xiao Shen Q Thief Killer
pjf(ustc)
IceSword
Intenta cerrar el proceso
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
Deshabilitar los siguientes servicios
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Programación
acceso compartido
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
Busque todos los archivos .EXE/.SCR/.PIF/.COM infectados excepto los siguientes directorios y márquelos
WINDOWS
Winnt
Información del volumen del sistema
Reciclado
Windows NT
Windows Update
Reproductor de Windows Media
Outlook Express
Internet Explorer
NetMeeting
Archivos comunes
ComPlus
Aplicar
ions
Messenger
Información de instalación de InstallShield
MSN
Página principal de Microsoft
Movie Maker
MSN Gamin Zone
Elimina el archivo .GHOlt;-------Presta atención a esto
Agrega la siguiente ubicación de inicio
\Documentos y configuración \Todos los usuarios\Menú Inicio\Programas\Inicio\Documentos y configuraciones \Todos los usuarios\Menú Inicio\Programas\Inicio\WINDOWS\Menú Inicio\Programas\Inicio\WINNT\ Perfiles\Todos los usuarios\Menú Inicio\Programas\Inicio\
Monitoreo de registros de QQ y acceso a archivos LAN: c:\test.txt, intentando enviar mensajes QQ
Intentando utilizar la siguiente contraseña para acceder al archivo LAN infectado (GameSetup .exe)
1234
contraseña
6969
harley
123456
golf
coño
mustang
1111
sombra
1313
pez
5150
7777
qwerty
béisbol
2112
déjame entrar
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
contraseña
contraseña
base de datos
abcd
abc123
sybase
123qwe
servidor
ordenador
520
super
123asd
ihavenopass
Dios te bendiga
habilitar
xp
2002
2003
2600
alfa
110
111111
121212
123123
1234qwer
123abc
007
aaaa
patricio
pat
administrador
raíz
sexo
dios
foobar
secreto
prueba123
>
temp
temp123
ganar
pc
asdf
pwd
qwer yxcv
zxcv
casa
xxx
propietario
iniciar sesión
Iniciar sesión
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
Administrador
Invitado
admin
Raíz p>
Se generan todos los directorios raíz y almacenamiento móvil
X:\setup.exe
X:\autorun.inf
[AutoRun ]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
Eliminar oculto *** Disfrute
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
Crear elemento de inicio:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=points a \system32\ drivers\spoclsv.exe
Deshabilitar la opción de ocultar carpeta
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
Pasos de limpieza
=========
1. Desconectarse de la red
2. p>
System\drivers\spoclsv.exe
3. Elimine el archivo de virus:
System\drivers\spoclsv.exe
4. -Haga clic en la letra de la unidad de la partición y haga clic en Seleccionar "Abrir" en el menú contextual para ingresar al directorio raíz de la partición y eliminar los archivos en el directorio raíz:
X:\setup.exe
X:\autorun.inf
5. Elimine los elementos de inicio creados por el virus:
[Copiar al portapapeles]CÓDIGO:
[HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="System\drivers\spoclsv.exe"
6. Función de opción "archivos y carpetas":
[Copiar al portapapeles]CÓDIGO:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\
SHOWALL]
"CheckedValue"=dword:00000001
7. Repare o reinstale el software antivirus
8. Utilice software antivirus o eliminación especial. herramienta Escanee todo el disco, borre y recupere archivos exe infectados.
Descargue la herramienta antivirus Panda Burning Incense para comprobarlo