天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

熊猫烧香来源追查:从病毒行为中揭开冰山一角

2008-2-18CB佚名

  Whboy(武汉男生)在98时代是很有名的国内病毒制造者,和广外女生相对,后来和同时代人销声匿迹.
  最近又有多个病毒流氓都代码里写着WhBOY,包括大名鼎鼎的熊猫烧香,流氓软件51VC,以及一些QQ/传奇密码盗窃木马,这些木马的代码、传播/爆发手法都极为相似,应该是同一人所为,但是不是早年的武汉男生,还很难说.我们把视线移到一个不起眼的站点上,在这里,我们可以找到一些答案...
  VC域名是国家顶级域名.属于圣文森特和格林纳丁斯. 位于东加勒比海向风群岛中,在巴巴多斯以西约160公里处.由主岛圣文森特和格林纳丁斯岛等组成,为火山岛国.51.vc的网站上写着ICP证是:鲁ICP证005248号.这是一个伪造的ICP证,通过百度可以查到另一个网站www.51pm.org也是使用了这个伪造的ICP证该网站已不能访问,但可以通过百度快照看到站点,其内容和51.vc完全一样
  剩下的事就是找到51.vc或51pm.org注册者,就知道这些病毒的作者/幕后指使究竟是什么人了
  
  
  
  臭名昭著的熊猫烧香俗称"武汉男生"
  
  
  
  这是最近的51VC反汇编,很明显,他们之间脱离不了干系
  
  以下是流氓软件51.vc的相关动作,与熊猫烧香的行为几乎如出一辙.
  1.针对查杀熊猫最猛烈的超级巡警
  2.同样的文件名(GameSetup.exe),这点很明显,感染熊猫的共享木马下必有这个文件,杀软报的也就这个
  3.猜解字典一样
  4.Autorun模式一样
  
  每隔2秒改写一次主页:www.51.vc
  每隔6秒关闭以下服务:
  Schedule
  sharedaccess
  RsCCenter
  RsRavMon
  KVWSC
  KVSrvXP
  kavsvc
  AVP
  McAfeeFramework
  McShield
  McTaskManager
  删除以下注册表:
  SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTask
  SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXP
  SOFTWARE/Microsoft/Windows/CurrentVersion/Run/kav
  SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50
  SOFTWARE/Microsoft/Windows/CurrentVersion/Run/McAfeeUpdaterUI
  SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network Associates Error Reporting Service
  SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXE
  SOFTWARE/Microsoft/Windows/CurrentVersion/Run/YLive.exe( :D)
  SOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse
  停止并删除以下服务:
  RsCCenter
  RsRavMon
  KVWSC
  KVSrvXP
  AVP
  kavsvc
  McAfeeFramework
  McShield
  McTaskManager
  navapsvc
  wscsvc
  KPfwSvc
  SNDSrvc
  ccProxy
  ccEvtMgr
  ccSetMgr
  SPBBCSvc
  Symantec Core LC
  NPFMntor
  MskService
  FireSvc
  每隔20分钟弹出IE,地址:www.51.vc
  创建线程,关闭以下窗口:
  VirusScan
  NOD32
  系统配置实用程序
  Symantec AntiVirus
  Windows 任务管理器
  esteem procs
  System Safety Monitor
  System Repair Engineer
  Wrapped gift Killer
  Winsock Expert
  游戏木马检测大师
  超级巡警
  pjf(ustc)
  msctls_statusbar32
  IceSword
  天网防火墙
  进程
  网镖
  杀毒
  毒霸
  瑞星
  木马清道夫
  注册表编辑器
  Duba
  卡巴斯基反病毒
  绿鹰PC
  木马辅助查找器
  噬菌体
  密码防盗
  超级兔子
  黄山IE
  木馬清道夫
  关闭以下程序:
  Mcshieid.exe
  VsTskMgr.exe
  naPrdMgr.exe
  UpdaterUI.exe
  TBMon.exe
  scan32.exe
  Ravmond.exe
  CCenter.exe
  RavTask.exe
  Rav.exe
  Ravmon.exe
  RavmonD.exe
  RavStub.exe
  KVXP.kxp
  KvMonXP.kxp
  KVCenter.kxp
  KVSrvXP.exe
  KRegEx.exe
  UIHost.exe
  TrojDie.kxp
  FrogAgent.exe
  Logo1_.exe
  Logo_1.exe
  Rundl132.exe
  使用以下弱密码探测共享并试图传自己为GameSetup.exe过去:
  password
  1234
  6969
  harley
  123456
  golf
  pussy
  mustang
  1111
  shadow
  1313
  fish
  5150
  7777
  qwerty
  baseball
  2112
  letmein
  12345678
  12345
  ccc
  admin
  5201314
  qq520
  1
  12
  123
  1234567
  123456789
  654321
  54321
  111
  000000
  abc
  pw
  11111111
  88888888
  pass
  passwd
  database
  abcd
  abc123
  sybase
  123qwe
  server
  computer
  520
  super
  123asd
  0
  ihavenopass
  godblessyou
  enable
  xp
  2002
  2003
  2600
  alpha
  110
  111111
  121212
  123123
  1234qwer
  123abc
  007
  a
  aaa
  patrick
  pat
  administrator
  root
  sex
  god
  foobar
  secret
  test
  test123
  temp
  temp
  win
  pc
  asdf
  qwer
  yxcv
  zxcv
  home
  xxx
  owner
  login
  Login
  pw123
  love
  mypc
  mypc123
  admin123
  mypass
  mypass123
  901100
  Administrator
  Guest
  admin
  Root
  
  把自己复制到:
  /Documents and Settings/All Users/「开始」菜单/程序/启动/
  /Documents and Settings/All Users/Start Menu/Programs/Startup/
  /WINDOWS/Start Menu/Programs/Startup/
  /WINNT/Profiles/All Users/Start Menu/Programs/Startup/
  连接:
  http://www.ac86.cn/88/down/up.txt 其中包括熊猫烧香
  http://update.whboy.net/ie.txt 已无法访问
  下载文件中的病毒程序
  
  每隔8秒死循环访问如下网站:
  tom.com
  163.com
  souhu.com
  google.com
  yahoo.com
  
  每隔6秒向各盘根目录下释放如下文件
  autorun.inf
  内容:
  [AutoRun]
  OPEN=setup.exe
  shellexecute=setup.exe
  shell/Auto/command=setup.exe
  setup.exe(自己的安装exe)
  

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:CB 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行