警惕仿熊猫烧香的病毒 推荐

文件名称：penguin.exe

文件大小：732835 byte

AV命名：Trojan.Win32.Agent.ala（IKARUS ）

加壳方式：未

编写语言：Microsoft Visual C++ 6.0

病毒类型：感染型

文件MD5：a44eea16f0c58f3d79e67834223a36de

病毒描述：
该病毒为VC编写，发作时会感染硬盘EXE文件，IFEO劫持安全工具和禁用系统自动更新和防火墙，降低系统安全。但由于编写的缺陷，可能被感染的文件无法执行，提示：invalid data in the file ! 孤独提醒网友们提高警惕。

行为分析:

1、释放病毒副本：

%Windir%\penguin.exe 732835 字节, HSA
随后调用P处理，修改病毒属性，为隐藏+存档+系统

2、添加注册表，开机自启：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值penguin.exe = REG_SZ, "C:\winnt\penguin.exe "

3、修改“显示隐藏文件”选项注册表，防止病毒体被删除：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 注册表值CheckedValue
REG_DWORD, 1 修改为 REG_DWORD, 0

4、尝试IFEPO重定向劫持，不过没有实现，只有一个空键。。如果实现的话，以下进程会被劫持：

360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe

5、修改注册表，把系统的自动更新和防火墙禁用。（未实现）

6、破坏安全模式，尝试删除一些注册表项，也没有实现。。

可能是：

SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

7、进程出现2个病毒体，看起来是进程守护，但是并没有那样做。

这可能是这个原因，被感染的文件会有2个捆绑数据。

8、查找硬盘上所有的EXE文件，并感染。

感染方式是捆绑，捆绑头部，2处捆绑地址分别为：B2EA3 165D46

修改入口点，为：0000389F，优先执行病毒体。

哈哈，没有判断系统文件，所以基本可执行系统文件都挂了，除了SFC的自动恢复。

另外该病毒遇到属性为S+R的会跳过，可能是避免引导文件被破坏而无法开机。

被感染过的文件为一只看起来很诡异的小熊。。

9、尝试U盘感染，不过没有实现。=。=

如果实现的话，应该是叫AutoRun.exe。

解决方法：

1、下载：

http://www.kingzoo.com/tools/孤独更可靠/PowerRmv.com
http://www.kingzoo.com/tools/孤独更可靠/sreng2.5.zip

2、打开PowerRmv，选上阻止抑制对象生成，填入：

C:\windows\penguin.exe
（2K系统为：C:\winnt\penguin.exe）

3、用SRENG删除注册表：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<penguin.exe><C:\winnt\penguin.exe> []

4、重装杀软，升级最高版本，修改被感染的EXE文件。

哈哈，有耐心的可以用UE或HEX一逐个修改``

PS：国际杀软扫描：

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 3.0.0.126 2007.11.09 2007-11-09 3.10 Trojan.Win32.Agent.ala
安博士V3 2007.11.09.01 2007.11.09 2007-11-09 1.46 -
AntiVir 7.6.0.34 7.0.0.197 2007-11-09 4.33 TR/Getos
Arcavir 1.0.4 200711091245 2007-11-09 1.36 -
AVAST 1.0.8 071109-0 2007-11-09 1.74 Win32:Getos [Trj]
AVG 7.5.49.442 269.15.27/1121 2007-11-09 3.59 -
BitDefender 7.60825.938282 7.15749 2007-11-10 11.83 DeepScan:Generic.Malware.SP!Tk.BC83099A
CA (VET) 9.0.0.143 31.2.5284 2007-11-10 1.56 Win32/SillyAutorun.L worm.
ClamAV 0.91.2 4740 2007-11-10 0.11 Trojan.Dropper-2514
Comodo 2.11 2.0.0.338 2007-11-08 1.47 Trojan-Downloader.Win32.Delf.bq
CP Secure 1.1.0.655 2007.11.10 2007-11-10 13.07 Troj.Downloader.W32.Delf.bq
Dr.WEB 4.44.0.9170 2007.11.09 2007-11-09 11.26 -
ewido 4.0.0.2 2007.11.09 2007-11-09 2.25 -
F-PROT 4.4.1.52 20071109 2007-11-09 2.36 W32/Backdoor.ARJU (exact)
F-SECURE 5.51.6100 2007.11.08.03 2007-11-08 7.51 -
飞塔 2.81-3.11 8.344 2007-11-09 2.05 W32/Delf.AQ!tr.dldr
ViRobot 20071109 2007.11.09 2007-11-09 0.85 Trojan.Win32.FlyStudio.761823
IKARUS T3.1.01.15 2007.11.09.69788 2007-11-09 1.67 Trojan.Win32.Agent.ala
江民杀毒 10.00.650 2007.11.08 2007-11-08 1.39 -
卡巴斯基 5.5.10 2007.11.10 2007-11-10 8.54 -
金山毒霸 2007.6.20.249 2007.11.9 2007-11-09 0.98 -
迈克菲 5.2.00 5160 2007-11-09 1.00 -
MKS_VIR 2.01 2007.11.09 2007-11-09 2.77 -
NOD32 2.70.10 2651 2007-11-10 0.03 -
NORMAN 5.91.08 5.90 2007-11-08 29.34 -
熊猫卫士 9.04.03.0001 2007.11.08 2007-11-08 3.83 -
趋势 8.500-1001 4.820.14 2007-11-09 0.07 -
Prevx V2 20071109 2007-11-09 7.02 TROJAN.DOWNLOADER.GEN
QuickHeal 9.00 2007.11.09 2007-11-09 4.27 -
瑞星 19.0 20.17.42.00 2007-11-09 2.47 -
SOPHOS 2.49.1 4.21 2007-11-10 5.83 -
赛门铁克 1.3.0.24 20071109.017 2007-11-09 0.28 -
nProtect 2007-11-09.00 1027285 2007-11-09 13.41 Trojan/W32.FlyStudio.761823
The Hacker 6.2.9 v00122 2007-11-09 0.87 -
VBA32 3.12.2.4 20071108.0429 2007-11-08 0.99 Trojan.Click.2809
VirusBuster 4.3.19:9 9.114.1/11.0 2007-11-08 4.06 -

报的不是很多，另外这个病毒体留有作者的名字，为：WTNE / MADE BY E COMPILER - WUTAO

>_<