xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加文章 Xcon English Version

P2P-Worm.Win32.Polipos.a 蠕虫公告


创建时间:2006-04-22 更新时间:2006-04-22
文章属性:原创
文章提交:killer (killer_at_xfocus.org)

P2P-Worm.Win32.Polipos.a 蠕虫公告



Author: killer (killer<2>xfocus.org)
Date:2006-4-22



一、病毒描述:

    近日,一种新的P2P蠕虫现身网络,该蠕虫不仅仅依靠P2P网络(Gnutella)传播,而且该蠕虫病毒没有实体文件,感染Windows可执行程序,采用EPO(Entry-Point Obscuring)技术对抗启发式扫描,不修改原文件入口点,病毒自带多态/变形引擎,确保每一次感染文件后病毒体均不相同。


二、病毒行为:

    1、感染后的载体文件运行后,病毒代码将插入除下列列表的所有系统活动进程:
    
       csrss
       dumprep
       drwtsn32
       smss
       spoolsv
       ctfmon
       ...
      
    2、启动可执行文件感染模块进行感染。
    
    3、启动P2P网络感染模块感染。
    
  
    4、删除部分反病毒产品的相关程序和文件:
    
       antivir.dat
       lguard.vps
       ...

    5、不感染大多数的反病毒产品文件、EXE Packer主程序,和包括如下字符串的文件:
    
       anti
       ida
       retina
       virus
       firewall
       debug
       root
       hunter
       hack
       webroot
       iss
       proxy
       disasm
       ...
    
    注:自解压的包裹文件被感染后(包括安装程序)将遭到病毒覆盖。


三、清除办法:

   目前大多数杀毒厂商对此病毒尚无有效处理方案,今日卡巴斯基的升级中,已经包含了对该病毒的检测,遗憾的是,由于该病毒的加密变形引擎,使得卡巴斯基检测到病毒后采用的临时清除方案是删除染毒文件。
  
   这对于重要的文件感染了病毒后将是个灾难,在杀毒厂商没有提供有效处理方案之前,强烈建议用户开启反病毒产品的监控,预防病毒传播到本机。

   对于已经感染的重要程序文件,可以采用手动恢复的办法临时处理:
  
   1、利用PE工具删除病毒增加的区段,同时进行PE校验和修复。
  
   2、利用调试工具载入该文件,定位到调用病毒区段代码,结合上下文代码进行手动代码修复,例:
  
      被病毒破坏的代码:
      
  
      010061DC   .  FF75 08         PUSH DWORD PTR SS:[EBP+8]            
      010061DF      E8 2FDD0500     CALL 002.01063F13
      010061E4   .  01EB            ADD EBX,EBP
      010061E6   .  32E8            XOR CH,AL

      修复代码:
  
      010061DC  |.  FF75 08              PUSH DWORD PTR SS:[EBP+8]                        
      010061DF  |.  FF15 E8130001        CALL DWORD PTR DS:[<&USER32.DefWindowProcW>]    ; \DefWindowProcW
      010061E5  |.  EB 32                JMP SHORT 01006219
      010061E7  |>  E8 551B0000          CALL 01007D41                           ;  Case 401 (WM_USER+1) of switch 01006006