2007年12月18日,金山毒霸全球反病毒监测中心发布圣诞期间紧急病毒预警,行为极度恶劣的“瓢虫”病毒新变种(Win32.Troj.Downloader.vb.237568)预计在圣诞节前后大面积发作,感染电脑内将爬满“瓢虫”,广大用户需高度警惕。金山毒霸反病毒专家戴光剑表示,“瓢虫病毒集熊猫烧香、AV终结者等年内重大病毒破坏性于一身,虽然目前病毒本身还有些缺陷,但随着新变种的不断出现,其破坏程度不容小觑。”
基本介绍
- 中文名:瓢虫病毒
- File:SDGames.exe
- Size:59282bytes
- FileVersion:3.02
- :
病毒介绍
12月18日,金山毒霸全球反病毒监测中心发布圣诞期间紧急病毒预警,行为极度恶劣的“瓢虫”病毒新变种(Win32.Troj.Downloader.vb.237568)预计在圣诞节前后大面积发作,感染电脑内将爬满“瓢虫”,广大用户需高度警惕。
金山毒霸反病毒专家戴光剑表示,“瓢虫病毒集熊猫烧香、AV终结者等年内重大病毒破坏性于一身,虽然目前病毒本身还有些缺陷,但随着新变种的不断出现,其破坏程度不容小觑。”
据了解,“瓢虫”病毒与熊猫烧香类似,感染性极强,用户电脑一旦感染该病毒,除系统盘,被感染后的exe档案图示将变成绿色的“小瓢虫”;同时,用户电脑内的浏览器、任务管理器、资料夹选项、系统时间等项目都将遭受破坏。戴光剑指出,这是一个感染性极强的病毒,病毒运行后,用户电脑将表现出五大“中毒”症状:
1、电脑运行速度立刻变慢,防毒软体无法正常使用;
2 、 系统时间被修改为2030年,使依赖系统时间的软体全部失效;
3、浏览器首页被篡改。当用户打开浏览器,会发现首页被修改为一个伪装的“百度”,由于该网址同样具有正常的搜寻功能,所以极具容易迷惑性;
4、“任务管理器”和“资料夹选项”遭禁止。如果用户想使用“任务管理器”和“资料夹选项”来查看是谁在系统中捣鬼,会发现这两个功能都被病毒禁止掉;而当用户试图打开注册表时,会弹出一个对话框,提示“注册表编辑已被管理员停用”;再仔细检查,会发现连System32资料夹都不见了,病毒已经把自己隐藏得非常深;
5、硬碟、软碟机、光碟机自动共享。用户打开“我的电脑”时,可发现机器的硬碟以及软碟机、光碟机全部已经自动设定成共享状态,并且这种共享还被病毒锁死,无法改回正确的设定。这样,只要有谁愿意,都可以一览无遗地浏览用户电脑中的资料。
金山毒霸反病毒工程师分析指出,病毒潜入用户电脑系统后,会在系统盘中释放出6个病毒档案,分别为%windows%\system32\目录下的AUTORUN.INF、netshare.cmd、Avpser.cmd、Taskeep.vbs、SDGames.exe,以及%windows%下的system.ini。除此而外,病毒还在全部磁碟的根目录下生成AUTORUN.INF、Recycleds.url、SDGames.exe、Windows.url、新建资料夹.url等档案。
根据瓢虫病毒的传播特点,金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2007年12月18的病毒库即可查杀以上病毒;如未安装金山毒霸,可以免费下载最新版金山毒霸2008或使用金山毒霸线上防毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
年终岁末是病毒的高发期,金山毒霸反病毒工程师建议广大用户:1、最好安装专业的防毒软体进行全面监控,防範日益增多的病毒。用户在安装反病毒软体之后,应将一些主要监控经常打开(如邮件监控、记忆体监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。2、由于玩网路游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网路使用习惯,及时升级防毒软体,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
症状
截杀"小瓢虫"病毒
据了解,“瓢虫”病毒与熊猫烧香类似,感染性极强,用户电脑一旦感染该病毒,除系统盘,被感染后的exe档案图示将变成绿色的“小瓢虫”;同时,用户电脑内的浏览器、任务管理器、资料夹选项、系统时间等项目都将遭受破坏。戴光剑指出,这是一个感染性极强的病毒,病毒运行后,用户电脑将表现出五大“中毒”症状: 1、电脑运行速度立刻变慢,防毒软体无法正常使用;
2、系统时间被修改为2030年,使依赖系统时间的软体全部失效;
3、浏览器首页被篡改。当用户打开浏览器,会发现首页被修改为一个伪装的“百度”,由于该网址同样具有正常的搜寻功能,所以极具容易迷惑性;
4、“任务管理器”和“资料夹选项”遭禁止。如果用户想使用“任务管理器”和“资料夹选项”来查看是谁在系统中捣鬼,会发现这两个功能都被病毒禁止掉;而当用户试图打开注册表时,会弹出一个对话狂,提示“注册表编辑已被管理员停用”;再仔细检查,会发现连System32资料夹都不见了,病毒已经把自己隐藏得非常深;
5、硬碟、软碟机、光碟机自动共享。用户打开“我的电脑”时,可发现机器的硬碟以及软碟机、光碟机全部已经自动设定成共享状态,并且这种共享还被病毒锁死,无法改回正确的设定。这样,只要有谁愿意,都可以一览无遗地浏览用户电脑中的资料。
瓢虫病毒
金山毒霸反病毒工程师分析指出,病毒潜入用户电脑系统后,会在系统盘中释放出6个病毒档案,分别为%windows%\system32\目录下的AUTORUN.INF、netshare.cmd、Avpser.cmd、Taskeep.vbs、SDGames.exe,以及%windows%下的system.ini。除此而外,病毒还在全部磁碟的根目录下生成AUTORUN.INF、Recycleds.url、SDGames.exe、Windows.url、新建资料夹.url等档案。
根据瓢虫病毒的传播特点,金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2007年12月18的病毒库即可查杀以上病毒;如未安装金山毒霸,可以免费下载最新版金山毒霸2008或使用金山毒霸线上防毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816,反病毒专家将为您提供帮助。
年终岁末是病毒的高发期,金山毒霸反病毒工程师建议广大用户:1、最好安装专业的防毒软体进行全面监控,防範日益增多的病毒。用户在安装反病毒软体之后,应将一些主要监控经常打开(如邮件监控、记忆体监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。2、由于玩网路游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网路使用习惯,及时升级防毒软体,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。
病毒分析和删除
主要表现
病毒样本来自卡饭,病毒行为恶劣,主要表现为:
1.攻击防毒软体之后进行IFEO映像劫持
2.感染htm等网页档案
3.感染或覆盖exe等执行档
4.破坏安全模式
5.破坏显示隐藏档案 资料夹选项等
6.修改系统时间并锁定时间
7.可通过随身碟等移动存储传播
8.关闭Windows防火墙等服务并打开许多危险服务,并使得用户磁碟被共享
9.后台添加账户并设定管理员许可权
10.修改某些档案关联
下面为具体分析
File: SDGames.exe
Size: 59282 bytes
File Version: 3.02
Modified: 2007年12月6日, 17:56:32
MD5: FC334FFCF5AFF3CA8235705D61F62990
SHA1: 4DFFE9E9BB666A13CC646EBA4371BDF4AFFB49BC
CRC32: 1DD096C2
1.病毒运行后,释放如下档案或副本
%systemroot%\system32\SDGames.exe
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF
在每个磁碟分区释放SDGames.exe和AUTORUN.INF 达到通过随身碟传播的目的(首先通过rd命令删除 autorun.inf资料夹 使得某些通过此种方法免疫随身碟病毒的方式失效)
并且在每个分区释放Windows.url,新建资料夹.url,Recycleds.url指向该分区根目录下的SDGames.exe
诱使用户点击
2.修改
reg和txt档案关联指向%systemroot%\system32\SDGames.exe
3.删除
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式
4.创建自启动项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><%systemroot%\system32\SDGames.exe> [SDGame]
<run><%systemroot%\system32\SDGames.exe> [SDGame]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Winstary><%systemroot%\system32\SDGames.exe> [SDGame]
5.破坏系统的一些功能
禁用cmd:HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD
破坏显示隐藏档案:HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
使得档案扩展名无法显示:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
隐藏控制台:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel
禁用注册表编辑器
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools
禁用任务管理器
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
修改IE主页为:http://www.*.
修改IE默认页为:wangma
隐藏档案夹选项
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
6.关闭如下服务并将其启动类型设为禁用
Alg
sharedaccess
wuauserv
7.开启下列服务并将其启动类型设为自动
Terminal Services
winmgmt
lanmanserver
8.%systemroot%\system32\netshare.cmd将用户的所有磁碟设为共享
9.添加一个名为guest的账户,
并将其设定为管理员许可权
10.攻击反病毒软体
,利用Avpser.cmd强制结束一些防毒软体进程
RavMonD.exe
RavStub.exe
Anti*
AgentSvr*
CCenter*
Rsaupd*
SmartUp*
FileDsty*
RegClean*
360tray*
360safe*
kabaload*
safelive*
KASTask*
kpFW32*
kpFW32X*
KvXP_1*
KVMonXP_1*
KvReport*
KvXP*
KVMonXP*
nter*
TrojDie*
Trojan*
KvNative*
Virus*
Filewall*
Kaspersky*
JiangMin*
RavMonD*
RavStub*
RavTask*
adam*
cSet*
PFWliveUpdate*
mmqczj*
Trojanwall*
Ras.exe
runiep.exe
avp.exe
PFW.exe
rising*
ikaka*
.duba*
kingsoft*
木马*
社区*
aswBoot*
MainCon*
Regs*
AVP*
Task*
regedit*
Ras*
srgui*
norton*
avp*
fire*
spy*
bullguard*
PersFw*
KAV*
ZONEALARM*
SAFEWEB*
OUTPOST*
ESAFE*
clear*
BLACKICE*
360safe.exe
Shadowservice.exe
v3webnt.exe
v3sd32.exe
v3monsvc.exe
sysmonnt.exe
hkcmd.exe
DNTUS26.EXE
AhnSD.exe
CTFMON.EXE
MonsysNT.exe
awrem32.exe
WINAW32.EXE
PNTIOMON.exe
avgw.exe
avgcc32.exe
PROmon.exe
PNTIOMON.exe
MagicSet.exe
MainCon.exe
TrCleaner.exe
WmNetPro.exe
修复*
保护*
11.映像劫持防毒软体和一些常用工具
360rpt.exe
360Safe.exe
360tray.EXE
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
Knod32kui.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
注册表
注册表MainCon.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
msconfig.exe
NAVSetup.exe
nod32krn.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
QQ.exe
Ras.exe
瓢虫病毒
瓢虫病毒Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
Rsaupd.exe
runiep.exe
safelive.exe
金山毒霸
金山毒霸scan32.exe
Shadowservice.exe
shcfg32.exe
SmartUp.exe
SREng.exe
srgui.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
12.遍历感染非系统分区的exe档案(覆盖方式)
13.遍历感染非系统分区的jsp asp php htm html hta档案
在其末尾加入<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0" src="http://*." name="Myframe"
align="center" border="0">的代码
14.修改系统时间的年份为2030年,并禁止用户修改时间
15.隐藏系统资料夹
解决办法
:
下载sreng:http://download.files/sreng2.zip
Icesword:http://mail.~jfpan/download/IceSword122cn.zip
1.解压缩Icesword
把Icesword改名为1.exe运行
进程中 找到SDGames.exe 右击它 结束进程
然后点击 Icesword左下角的 档案 按钮
找到如下档案并删除
%systemroot%\system32\SDGames.exe
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF
以及各个分区下面的
SDGames.exe,AUTORUN.INF,Windows.url,新建资料夹.url,Recycleds.url
2.运行sreng
(由于时间已经被改为2030年 所以sreng会弹出过期提示,不用担心,输入下面的授权码即可使用)
用户名:teyqiu
授权号:2-6-1-2-9-0-2-7-5-4-1-1-8-5-4-3-1-4-0-9-0-1-3-5-5-6(去掉“-”就是了)
打开sreng后 点击 系统修复-档案关联-修复
系统修复-Windows Shell/IE -全选-修复
高级修复-修复安全模式
3.还是sreng中
启动项目 注册表 删除如下项目
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><%systemroot%\system32\SDGames.exe> [SDGame]
<run><%systemroot%\system32\SDGames.exe> [SDGame]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Winstary><%systemroot%\system32\SDGames.exe> [SDGame]
并删除所有红色的IFEO项目
启动项目 System.ini
删除Windows节点
4.取消磁碟共享
开始 运行 输入cmd 输入如下命令
net share c /delete
net share d /delete
...
以此类推 分别取消所有磁碟分区的共享
5.显示系统资料夹
开始 运行 输入cmd 输入如下命令
attrib -h %systemroot%\system32
6.修复受感染的htm等网页档案
推荐使用CSI的iframkill
预防
这个病毒看起来象熊猫烧香和AV终结者的结合体,阳光以前曾给过一个详细的分析。如果这个病毒把感染做的完美些(现在病毒还不是真正意义上的感染,是用病毒体完全覆盖正常EXE),会不会造成和李俊版熊猫烧香一样的效果呢,完全有可能。
以下是关于该病毒的详细分析报告:
病毒信息
病毒名:Win32.Troj.Serwer.yx
病毒中文名称:小瓢虫
病毒行为
这是一个感染型病毒,把会计算机上的系统时间改为2030年,在系统盘的system32资料夹下释放多个病毒档案。
在计算机上的每个盘下生成SDGames.exe和Autorun.inf两个档案,以达到通过双击该盘时病毒可以运行起来。
在每个盘下生成三个Url档案,都指向该盘下的SDGame.exe档案,三个Url档案具有迷惑性的图示。可以查看这三个URL的属性,会发现都指向c:\sdgame.exe。
通过添加注册表启动项以达到开机时病毒能运行起来,通过修改注册表破坏系统安全模式,禁用大部分系统功能:包括,禁用任务管理器,禁用控制台,禁止修改系统配置,锁定主页,禁用注册表编辑器等。
映像劫持了大量软体,被劫持的软体包括“防毒软体”,“系统检测工具”,“QQ”,(连QQ都不让用,这病毒够BT)
感染计算机上的exe档案,感染方式为覆盖数据。(除系统盘外,其它盘的EXE都被替换为小瓢虫图示)
感染计算机上的hta,html,htm,jsp,php,asp后缀的档案,插入网页代码.(除系统盘外,这一点和熊猫烧香的传播方式相同,有可能会造成网站大面积挂马)
把计算机上的所有盘设为所有人完全共享,(这是尼姆达病毒最常用的手段,当然,目的就是在区域网路中大面积传播了。)
病毒运行后释放以下档案:
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\SDGames.exe
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF
Taskeep.vbs的作用是运行起病毒进程
netshare.cmd的作用是打开本机的共享
Avpser.cmd用于结束计算机上的大量防毒软体、安全检测软体,常见防毒软体都在被攻击之列。
病毒在计算机上的每个盘下生成SDGame.exe和Autorun.inf,并生成Recycleds.url,Windows.url,新建资料夹.url三个档案,诱使用户双击。这三个档案都指向该盘下的SDGame.exe档案。(Recycleds.url的图示为“资源回收筒”,其余两个图示为“资料夹图示”)
病毒创建注册表启动项,添加服务;
把计算机上为以下后缀名的档案插入代码:(除系统盘外)
".hta"
".html"
".htm"
".php"
".asp"
".jsp"
插入的代码:
感染计算机上的exe档案,感染方式为覆盖数据.(除系统盘,被感染后的exe档案图示为绿色的小飘虫)
修改计算机上的reg和txt档案关联指向"%systemroot%\system32\SDGames.exe"
把计算机上的系统时间改为2030年,中国木马製作者的惯用手法。
通过修改注册表的方式破坏安全模式。
禁用cmd:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\DisableCMD
破坏显示隐藏档案:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
使得档案扩展名无法显示:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
隐藏控制台:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel
禁用注册表编辑器:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools
禁用任务管理器:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
修改IE主页为: http://www.zhidaobaidu.
隐藏资料夹选项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
映像劫持常用安全软体,这次连防毒软体的命令行查毒都没放过。
