出处:DSW Avert 时间:2007年01月01日
近日,DSW Lab
Avert小组发现一个高度危险的QQ漏洞被披露,名为Exploit.Win32.QQCom.a,如果被恶意利用,可以使得用户在浏览植入恶意代码的
网页时,打开本地端口,远程植入木马到用户系统中。黑客完全利用此漏洞可以远程控制用户电脑,进行文件拷贝、删除等恶意操作。
经过与QQ安全小组联系得知,QQ公司已经于昨日升级,修补该漏洞。DSWLAB也及时升级了超级巡警最新特征库,请广大用户升级到最新库,监测利用该漏洞的木马,强烈建议广大用户及时升级QQ,抵御病毒入侵,预防此漏洞危害系统。
腾讯QQ目前有着2亿的用户数量,使得该漏洞有着极大的攻击范围,有可能被利用来制造僵尸网络。QQ安全中心已经就此漏洞发布了一个补丁检查升级公告:http://security.qq.com/affiche/2006/20061231.shtml。
一、熊猫烧香有几个变种?
到目前为止,从大体上分,目前主要有四大变种,变种A我们已经分析,见本版,变种B的就是大家常说的spoclsv.exe进程,它藏的全路径是:%
SystemRoot%\Drivers\spoclsv.exe,其它部分与变种A基本一致。变种C主要的改动是对抗杀毒软件,尤其是超级巡警的专杀,
该专杀旧版本被360安全卫士内置到工具列表中。变种C通过查找窗口标题有超级巡警字样,即关闭该窗口,即使在桌面新建一个名为超级巡警的文本文件,用记
事本打开也会被关闭。因此许多网友下载了旧版的专杀,抱怨打开就被关闭,同时熊猫烧香病毒还会关闭其它一些常见的进程管理的,比如常用的Windows任
务管理器。对付这种变种的方法就是使用一个不被关闭的进程管理的,推荐使用X-PS,下载地址和使用说明:http://www.unnoo.com/html/research/2006/0718/29.html,关闭掉名为spoclsv.exe的进程。然后在使用巡警的专杀,当然也可以下载最新的超级巡警使用里面的专杀来查杀。
变种D是最近才出现的一个变种,该变种感染文件后图标不在是熊猫模样,当感染该变种会在临时目录发现100个图标文件。还有其它一些变种,基本都是为了躲避查杀进行修改和下载不同的后门的版本。
二、对系统的破坏:
熊猫烧香在感染的系统上,会关闭杀毒软件进程,删除杀毒软件的注册表项目,禁用杀毒软件的服务,修改资源管理器不显示隐藏文件等。
还会调用如下命令来删除共享:
cmd.exe /c net share C$ /del /y
cmd.exe /c net share D$ /del /y
cmd.exe /c net share admin$ /del /y
....
旧变种会全面感染系统文件,新变种会感染除系统目录外的文件,即尽量不感染微软操作系统自身的文件。
新旧变种都会删除.gho,一般人会在安装完成系统后,使用Norton
Ghost进行备份,熊猫会恶意删除这个备份文件。
其中一个变种还会在感染目录生成desktop_.ini。
最大的破坏是,熊猫烧香本身就是一种下载者,会在指定的网站下载后门、木马、各种盗号程序,甚至DDoS程序。
三、为什么无法清除干净,如何彻底查杀:
有人使用了超级巡警和巡警之熊猫专杀后,将一个机子杀干净了,但不久又发现感染了,这是因为,熊猫烧香在感染了一个系统后,开启一个单独的线程进行C类网
络扫描感染,访问同网段的139/445端口,进行IPC$密码猜解和查找共享,并感染共享中的文件。这样只要网络内有一个机子还有存活的熊猫烧香病毒,
就依然存在再次感染全网的可能。
许多朋友网络内都是有文件共享服务器,电影服务器,而许多网友的网络内的人都为了方便系统登录口令都是空口令,或者是123这样的简单口令。
局域网中有用户IE没有打补丁,浏览挂了熊猫烧香病毒的网站,并不知情。
查杀的办法是:
1、断开网络,使用超级巡警之熊猫烧香专杀,每个机子全面杀毒。
2、修改口令,取消本地共享目录。
3、查杀完成后使用超级巡警的补丁检查检查系统没有打的补丁,及时打上补丁,尤其是IE补丁。
最新版巡警已经内置了最新专杀,请到官方网站http://dswlab.com中推荐的下载地址去下载!
Powered by Haiwit
