|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
您现在的位置: ChinaBeta.cn 中文IT资讯 >> 资讯中心 >> HACK报道 >> 传奇|人物 >> 文章正文
普通文章《刀魂4》发布时间确定 将推收普通文章PC版《Mass Effect》硬件需求
普通文章AMD发布官方正式版催化剂8.4普通文章微软遭遇Windows XP SP3疯狂重
普通文章互联网视频监管“维新”普通文章eBay澳大利亚强迫用户使用贝宝
普通文章Apple发布Safari 3.1.1 for Wi普通文章ATI Catalyst 8.4 显卡驱动发布
普通文章Mozilla Firefox 2.0.0.14 简体普通文章ffdshow r1943 2008-04-16
普通文章Koepi's XviD Codec 1.1.3普通文章微软 Windows Mobile 6.1 模拟
普通文章QQ2007(PocketPC)正式版 Build推荐文章Microsoft Device Emulator 启
普通文章中联通知识产权曝隐患 “世界风普通文章Gidot TypeSetter 3.03 文章自
普通文章Process Monitor 1.31 汉化版普通文章Windows Live Hotmail注册验证
普通文章中移动暂停小区广告试点 启动垃普通文章谷歌:“永不作恶”的争议
普通文章Sun Java SE Runtime Environm普通文章Media Player Classic v6.4.9.
普通文章小红伞 Avira Premium Securit普通文章微软拼音输入法2007词库升级(2
普通文章微软确认年底发布SQL Server 2普通文章奥运官方游戏《北京2008》封面
普通文章《超级玛丽银河》版Wii主机MOD普通文章《Crysis》引擎《上古卷轴》Mo
熊猫烧香来源追查,从病毒行为中揭开冰山一角![图]
Www.ChinaBeta.Cn 更新时间:2007-1-26

【ChinaBeta.Cn中文IT资讯网】
Whboy(武汉男生)在98时代是很有名的国内病毒制造者,和广外女生相对,后来和同时代人销声匿迹.
最近又有多个病毒流氓都代码里写着WhBOY,包括大名鼎鼎的熊猫烧香,流氓软件51VC,以及一些QQ/传奇密码盗窃木马,这些木马的代码、传播/爆发手法都极为相似,应该是同一人所为,但是不是早年的武汉男生,还很难说.我们把视线移到一个不起眼的站点上,在这里,我们可以找到一些答案...
VC 域名是国家顶级域名.属于圣文森特和格林纳丁斯. 位于东加勒比海向风群岛中,在巴巴多斯以西约160公里处.由主岛圣文森特和格林纳丁斯岛等组成,为火山岛国.51.vc的网站上写着ICP证是:鲁 ICP证005248号.这是一个伪造的ICP证,通过百度可以查到另一个网站www.51pm.org也是使用了这个伪造的ICP证该网站已不能访问, 但可以通过百度快照看到站点,其内容和51.vc完全一样
剩下的事就是找到51.vc或51pm.org注册者,就知道这些病毒的作者/幕后指使究竟是什么人了



臭名昭著的熊猫烧香俗称"武汉男生"



这是最近的51VC反汇编,很明显,他们之间脱离不了干系

以下是流氓软件51.vc的相关动作,与熊猫烧香的行为几乎如出一辙.
1.针对查杀熊猫最猛烈的超级巡警
2.同样的文件名(GameSetup.exe),这点很明显,感染熊猫的共享木马下必有这个文件,杀软报的也就这个
3.猜解字典一样
4.Autorun模式一样

每隔2秒改写一次主页:www.51.vc
每隔6秒关闭以下服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
删除以下注册表:
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RavTask
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KvMonXP
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/kav
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/KAVPersonal50
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/McAfeeUpdaterUI
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Network Associates Error Reporting Service
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ShStatEXE
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/YLive.exe( :D)
SOFTWARE/Microsoft/Windows/CurrentVersion/Run/yassistse
停止并删除以下服务:
RsCCenter
RsRavMon
KVWSC
KVSrvXP
AVP
kavsvc
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
每隔20分钟弹出IE,地址:www.51.vc
创建线程,关闭以下窗口:
VirusScan
NOD32
系统配置实用程序
Symantec AntiVirus
Windows 任务管理器
esteem procs
System Safety Monitor
System Repair Engineer
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
pjf(ustc)
msctls_statusbar32
IceSword
天网防火墙
进程
网镖
杀毒
毒霸
瑞星
木马清道夫
注册表编辑器
Duba
卡巴斯基反病毒
绿鹰PC
木马辅助查找器
噬菌体
密码防盗
超级兔子
黄山IE
木馬清道夫
关闭以下程序:
Mcshieid.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
使用以下弱密码探测共享并试图传自己为GameSetup.exe过去:
password
1234
6969
harley
123456
golf
pussy
mustang
1111
shadow
1313
fish
5150
7777
qwerty
baseball
2112
letmein
12345678
12345
ccc
admin
5201314
qq520
1
12
123
1234567
123456789
654321
54321
111
000000
abc
pw
11111111
88888888
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
520
super
123asd
0
ihavenopass
godblessyou
enable
xp
2002
2003
2600
alpha
110
111111
121212
123123
1234qwer
123abc
007
a
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp
win
pc
asdf
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pw123
love
mypc
mypc123
admin123
mypass
mypass123
901100
Administrator
Guest
admin
Root

把自己复制到:
/Documents and Settings/All Users/「开始」菜单/程序/启动/
/Documents and Settings/All Users/Start Menu/Programs/Startup/
/WINDOWS/Start Menu/Programs/Startup/
/WINNT/Profiles/All Users/Start Menu/Programs/Startup/
连接:
http://www.ac86.cn/88/down/up.txt 其中包括熊猫烧香
http://update.whboy.net/ie.txt 已无法访问
下载文件中的病毒程序

每隔8秒死循环访问如下网站:
tom.com
163.com
souhu.com
google.com
yahoo.com

每隔6秒向各盘根目录下释放如下文件
autorun.inf
内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell/Auto/command=setup.exe
setup.exe(自己的安装exe)
转自:ChinaBeta.Cn

(责任编辑:hahack)

Google
发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
热门文章 相关报道
普通文章 [游戏资讯]《刀魂4》发布时间确定 将推收藏 (04-17)最新文章
普通文章 [游戏资讯]PC版《Mass Effect》硬件需求 (04-17)最新文章
普通文章 [软件资讯]AMD发布官方正式版催化剂8.4 (04-17)最新文章
普通文章 [IT资讯]微软遭遇Windows XP SP3疯狂重启 (04-17)最新文章
普通文章 [视点·互动]互联网视频监管“维新” (04-17)最新文章
普通文章 [IT资讯]eBay澳大利亚强迫用户使用贝宝 政 (04-17)最新文章
普通文章 [软件资讯]Apple发布Safari 3.1.1 for Wind (04-17)最新文章
普通文章 [软件资讯]ATI Catalyst 8.4 显卡驱动发布 (04-17)最新文章
普通文章 [软件资讯]Mozilla Firefox 2.0.0.14 简体中 (04-17)最新文章
普通文章 [软件资讯]ffdshow r1943 2008-04-16 (04-17)最新文章
  • 网络公司欲以百万年薪聘请熊

  • 互动:您怎样看待李俊要减刑

  • 熊猫烧香制造者因拘留所编写

  • "小浩"蠕虫病毒破坏力超过"

  • 熊猫烧香作者进班房 诺顿误

  • '熊猫烧香'背后的&

  • 熊猫烧香制造者李俊被批准逮

  • 熊猫烧香漏网嫌犯仍在制毒 

  • 熊猫烧香专杀程序仍在鉴定中

  • 警方验证熊猫烧香嫌犯杀毒程

    		•
      网友评论内容:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    I D *
    邮 箱
    主 页
    评 分 1分 2分 3分 4分 5分
    评 论

    易尚防火墙 | 无线宽带路由器 | 3com无线路由器 | d-link无线路由器 | tp-link无线路由器 |东软防火墙

    关于我们  中国·国家信息产业部{粤ICP备06006652号}{陇ICP备06002562号}
    版权所有:『AK网盟基地』站长:Hahack | QQ:80505955 | E-mail:Hahack@Gmail.com
    Copyright (C) 2005-2007  akhack.org|chinabeta.cn All Rights Reserved