“大猩猩”病毒在源代码内留言公然挑战08版杀软
刚刚看到网络巡警的博客上有了这个病毒的分析,自己还没拿到样本,所以转一下他的分析。
PS:熊猫烧香,大猩猩,金猪病毒,兔宝宝,小猪病毒,病毒开动物大会咯!下一个会是什么动物呢?
以下文字转自网络巡警的博客 http://hi.baidu.com/xyz24k 受篇幅限制,有删节
近日,在网络上出现了一种大猩猩病毒,与“熊猫烧香”、“小浩”病毒类似的是,该病毒也会感染*.exe文件,还可以通过U盘传播,并且病毒运行时,会占用大量的CPU资源,导致中毒的系统瘫痪,无法启动,详细的技术分析如下:
病毒名称:Win32/DaXingXing.a
中 文 名:大猩猩病毒
病毒类型:文件型
危害等级:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
病毒样本MD5值为:60f66f0b7312e6eb9a5f2f823c5ff316
文件大小为:819829字节
病毒运行特征:
1. Win32/DaXingXing.a 大猩猩病毒是一个采用易语言编写的文件型病毒,病毒运行后,创建病毒进程winfuckjp.exe ,该进程采用RootKit技术隐藏自身,用Windows自带的任务管理器察看不到。
释放病毒文件:
%WinDir%\System32\winfuckjp.exe, 819829字节
该病毒还会感染全盘所有的*.exe文件,向文件头部添加7725字节的数据,感染后的文件图标变成一个大猩猩的图标,如下图:
2. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winfuckjp.exe" = %SystemDir%\winfuckjp.exe
这样,在Windows启动时,病毒就可以自动执行。
3. 病毒还会在U盘/MP3/移动硬盘以及每个硬盘分区跟目录下释放病毒文件AutoRun.inf和ri.exe,其中AutoRun.inf文件内容如下:
[AutoRun]
OPEN=ri.exe
这样当用户双击U盘或其它移动存储设备以及硬盘各个分区的时候就会激活病毒运行。
4. 病毒运行后,会尝试使用Taskkill /f /im命令关闭以下杀毒软件和安全工具的进程,以达到躲避查杀的目的。
Navapw32.exe
Navapsvc.exe
NMain.exe
navw32.EXE
KVFW.EXE
KAVSvcUI.exe
KAVPFW.EXE
KAV32.exe
KvXP.kxp
twister.exe
KVSrvXP.exe
KVSrvXP_1.exe
......
5. 该病毒具有IFEO重定向劫持功能,病毒通过写注册表中的 IFEO 键值,来阻止一些杀毒软件和安全工具的运行,
添加的注册表键值例如下列:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KVCenter.kxp]
"Debugger" = c:\winnt\system32\winfuckjp.exe
共阻止100款杀毒软件和安全工具的运行,详细名单如下:
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
......
6. 病毒修改操作系统的Hosts表,禁止用户登陆反病毒厂商的网址升级病毒库,被修改后的Hosts表文件如下:
127.0.0.1 www.trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 www.rising.com.cn
127.0.0.1 bbs.2dai.com
127.0.0.1 bbs.abcbit.com
127.0.0.1 www.freekv.net
......
这样,中毒用户就无法登陆反病毒厂商的网站升级病毒库。
7. 该病毒还会修改注册表相关键值,来禁用显示隐藏文件的功能。
8. 该病毒还会修改注册表相关键值,来破坏系统的安全模式,这样中毒用户就无法进入安全模式下杀毒。
9. 在病毒文件体内,病毒作者还留言,挑战尚未上市尚在公测时的2008版杀毒软件。如下图
病毒运行后,会感染全盘的*.exe 文件,致使系统中毒后将完全瘫痪,并且占用大量的CPU资源,系统无法启动,给用户带来损失。
| 
