当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 剖析熊猫烧香 竟盗网游装备

安全基础
揭开DDoS攻防的神秘面纱
用端口截听实现隐藏嗅探与攻击
教你穿透ADSL路由入侵内网
防范非法用户侵入系统七绝招
警惕黑客4种手段攻击无线局域网
Foxmail账户入侵原理及防范方法
怀疑PC安装木马?学学网络安全小命令
解除安全隐患—让“命令提示符”不再危险
菜鸟必读之邮箱及IE安全技巧全精通
冲浪安全更安全 禁用Cookie功能的几种方法
网上保障隐私十大秘技
顺藤摸瓜 利用IIS日志追查网站入侵者
如何有效防范自己的IP地址泄漏
用Windows自带工具打造“免检”木马
隐藏IP就这么简单
新人快速上手指南 电脑木马查杀大全
触目惊心!小心index.dat泄露你上网痕迹
当心软件泄密 彻底清理应用软件的运行痕迹
网管宝典 终端入侵防护系统七大纪律
巧妙解救被“绑架”的浏览器

安全基础 中的 剖析熊猫烧香 竟盗网游装备


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 116 ::
收藏到网摘: n/a

近期“熊猫烧香”病毒在互联网上疯狂肆虐,使得数以万计用户的电脑遭殃。为此,我们组织技术人员对此病毒进行深度剖析,结果却令我们大吃一惊:

最近熊猫烧香木马扫荡网络制造麻烦,谈之色变,熊猫烧香木马病毒变种比较多,江湖传闻熊猫烧香有30种变种,杀毒软件比如Norton可以杀死熊猫烧香的一个变种,可是无法捣毁的熊猫烧香的源头,就是熊猫烧香的服务端。无论它有多少种,它最终的源头数量是有限,那就是熊猫烧香的服务端,直接捣毁它的老巢,来个釜底抽薪。网游保镖就可以做到釜底抽薪,直捣熊猫老巢。

下面简单分析一下熊猫烧香的目前比较盛行的这一版熊猫烧香是怎样入侵你的PC,我手里的有个叫GameSetup.exe或者spo0lsv.exe的30多K的exe,被捆绑到一些游戏插件中,这时GameSetup.exe被启动,如果没有安装网游保镖,那你就中招了。

我那时是使用旧版的网游保镖,没有熊猫烧香病毒库,但是网游保镖监控程序告诉我有个程序要访问网络,当时也不知道是木马,我允许了。

发现任务管理器的资源被一个程序疯狂的占用,游保镖日志栏目看,你会发现你的Web日志和IP日志栏目有个sppoolsv.exe(熊猫烧香木马释放出来的一个文件)程序疯狂访问网络,查找并感染其他局域网机器。

我们先用网游保镖看看熊猫烧香木马访问IP日志截图,从中你可以看出它在试图访问局域网其他机器,“熊猫烧香”是一个感染型的蠕虫病毒,它能感染系统中exe、com、pif、src、html、asp等文件,被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样:

我们从中可以看出,Sppoolsv.exe木马程序访问的172.16.*.*的机器全部是局域网,在这个截图中, 202.108.9.39, 61.135.179.147和69.147.114.210是其他外网地址, 这些外网地址是其他网站地址,并不是木马,目前尚不清楚该木马为什么还要访问www.google.cn, www.tom.com, www.163.com等等一些大的网站,难道是在众多URL中伪装自己在混杂种保护它的真正老巢吗,不知道,我们再看看网游保镖的Web日志:

注意看Web日志里的这几个文件,这几个是木马下载下来真正做坏事的东西,我在任务管理器里可以看到全部被运行起来,并拷贝至系统目录或临时目录里。

http://www.feifeicqq.com/hackicq/icq.txt

http://www.feifeicqq.com/nur/gf02/asp/deverticp.exe

http://www.feifeicqq.com/nur/mh/main.exe

http://www.feifeicqq.com/nur/zt/zain.exe

http://www.feifeicqq.com/nur/jh/jain.exe

http://www.feifeicqq.com/nur/moyo/zmyn.exe

http://www.feifeicqq.com/gmm/gmm.exe

http://www.feifeicqq.com/hot/cs.exe

http://www.feifeicqq.com/hot/dewa.exe

http://www.feifeicqq.com/hot/hgz.exe

(装上网游保镖后在用户机器的\Local Settings\Application Data\BanMa\OGG\logs目录里能看到这些URL的IP地址是221.231.140.227)

在Web日志里的后几页里还有这一个文件,这个URL就更有意思了http://www.541792.com居然敢模仿百度,你打开这个URL居然是百度,又想伪装自己,并伺机下载木马病毒文件,就是这么欺负用户是小白吗,你太残忍了吧。

http://www.541792.com/01/2.exe

该URL的IP地址是60.169.1.178,并非百度

普通用户在熊猫烧香木马访问的众多URL中确实很难留意哪些是它真正老巢URL,难道他频繁访问www.sohu.com, www,sina.com