揭秘“熊猫烧香”肆虐内幕 千余家企业网络遭攻击（请将QQ自动更新至最新）

来源：瑞星公司 时间：2007-01-12 11:01:15

  [快讯] 1月12号，瑞星全球反病毒监测网向企业局域网发布警告，目前“尼姆亚（也称熊猫烧香）”病毒的攻击重点正在转向企业局域网和网站，广大企业和网站应提高警惕紧密防范。瑞星反病毒专家介绍说，该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

  据悉，目前多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使此次“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

  瑞星反病毒专家介绍说，“熊猫烧香”其实是“尼姆亚”病毒的新变种，最早出现在2006年的11月，到目前为止已经有数十个不同变种，在此期间瑞星已经发布针对该病毒的专杀工具，今天该工具已经升级，用户可以去瑞星网站（http://it.rising.com.cn/Channels/Service/index.shtml）免费下载使用。

  除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

  那么，用户应该如何防范“熊猫烧香”病毒的攻击？专家建议：

  第一，安装杀毒软件和瑞星卡卡3.1，并在上网时打开网页实时监控。由于现在海底光缆中断，很多国外杀毒软件难以升级，瑞星杀毒软件免费为用户提供一个月服务，可以登陆：http://www.rising.com.cn 免费下载并使用。用户还可以通过瑞星在线专家门诊：http://help.rising.com.cn取得帮助。

  第二，网站管理员应该更改机器密码，以防止病毒通过局域网传播。

  第三，QQ、UC的漏洞已经被该病毒利用，用户应该去他们的官方网站打好最新补丁。（内测版无需打补丁，1109版自动更新即可）

  第四，该病毒会利用IE浏览器的漏洞进行攻击，因此用户应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。

（转载）
最近这个东西蔓延很厉害，安全方面不太熟悉的赶紧下载安装火狐（Firefox）浏览器吧。
【CISRT2006081】熊猫烧香变种 spoclsv.exe

病毒名称：Worm.Win32.Delf.bf（Kaspersky）
病毒别名：Worm.Nimaya.d（瑞星）
　　　　　 Win32.Trojan.QQRobber.nw.22835（毒霸）
病毒大小：22,886 字节
加壳方式：UPack
样本MD5：9749216a37d57cf4b2e528c027252062
样本SHA1：5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间：2006.11
更新时间：2006.11
关联病毒：
传播方式：通过恶意网页传播，其它木马下载，可通过局域网、移动存储设备等传播


技术分析
==========

又是“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下：
%System%\drivers\spoclsv.exe

创建启动项：


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改注册表信息干扰“显示所有文件和文件夹”设置：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000


在各分区根目录生成副本：

X:\setup.exe
X:\autorun.inf

autorun.inf内容：


[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe


使用net share命令删除管理共享：net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y

遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件：
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone

将自身捆绑在被感染文件前端，并在尾部添加标记信息：

QUOTE:.WhBoy{原文件名}.exe.{原文件大小}.
与之前变种不同的是，这个病毒体虽然是22886字节，但是捆绑在文件前段的只有22838字节，被感染文件运行后会出错，而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

另外还发现病毒会覆盖少量exe，删除.gho文件。

病毒还尝试使用弱密码访问局域网内其它计算机


清除步骤
==========

1. 断开网络

2. 结束病毒进程
%System%\drivers\spoclsv.exe

3. 删除病毒文件：
%System%\drivers\spoclsv.exe

4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：
X:\setup.exe
X:\autorun.inf

5. 删除病毒创建的启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"


6. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001


7. 修复或重新安装反病毒软件

8. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件附上两个专杀:
瑞星版本:http://download.rising.com.cn/zsgj/NimayaKiller.scr
农夫版本(推荐):http://mopery.hits.io/nimuya.zip

========================================================
附：熊猫烧香【CISRT2006078】FuckJacks.exe setup.exe 尼姆亚 解决方案

档案编号：CISRT2006078
病毒名称：Trojan-PSW.Win32.QQRob.ec（Kaspersky）
病毒别名：Worm.Nimaya.a[尼姆亚]（瑞星）
病毒大小：30,465 字节
加壳方式：FSG
样本MD5：2a6ad4fb015a3bfc4acc4ef234609383
样本SHA1：bd2499c1bcddc5a55c87510730e6e826f7dac9bc
发现时间：2006.11
更新时间：2006.11
关联病毒：
传播方式：同上“变种”

exe主程序使用白底熊猫烧香图标，运行后复制自身到系统目录：
%System%\FuckJacks.exe

创建自启动项：
"FuckJacks"="%System%\FuckJacks.exe"
"svohost"="%System%\FuckJacks.exe"

在各分区根目录创建副本：
X:\autorun.inf
X:\setup.exe

尝试结束进程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl123.exe

关闭窗口：
QQKav
QQAV
VirusScan
Symantec AntiVirus
iDuba
esteem procs
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword

删除启动项：
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse

禁用服务：
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

遍历目录，感染除系统目录外其它目录中的exe文件，将自身捆绑在exe文件前端，并在尾部添加标记信息：
WhBoy{原文件名}.exe.{原文件大小}.

被感染exe运行后释放前端病毒文件到%System%\FuckJacks.exe，并使用bat批处理将后边原始exe文件“还原”，bat批处理内容：

:try1
del "file.exe"
if exist "file.exe" goto try1
ren "file.exe.exe" "file.exe"
if exist "file.exe.exe" goto try2
"file.exe"
:try2
del %0

这个环节和Viking类似。

病毒还尝试使用弱密码访问局域网内其它计算机：
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
***
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root

病毒体内包含文字：
xXx_WhBoy_Worm
xXx_WhBoy


病毒清除方法：请参照变种的清除方法清除，注意病毒关键字的不同！

[ 本帖最后由 想入非非 于 2007-1-19 02:16 PM 编辑 ]

wyylf

第一个，好东西要收藏

好象没有说的那么厉害吧,我到现在安然无恙啊!

marcocxb

这个病毒中了就惨了。

hjyaa

还好我没中过，
不过好像有专杀了！

lamberz

反正这段时间是搅得不得安宁，全靠杀毒软件防着了...

drw

这个好，下载了收藏备用！