高龄病毒“熊猫烧香”还没退休?

  • 来源:深信服安全中心
  • 发布时间:2019-03-25
#

事件描述

一、病毒概述

    近日,深信服安全团队收到客户反馈,其内网多台主机中的文件感染了病毒,影响正常业务。经分析,该病毒为“熊猫烧香”病毒变种,虽然该病毒已有十余年历史,但由于其具有很强的感染及传播性,依然很容易在缺少防护的企业内网中传播开来。

    病毒会对主机中的可执行文件、压缩文件以及网页文件进行感染,并可通过磁盘、局域网进行传播,同时具有对抗杀软的行为。

    最早的“熊猫烧香”病毒中毒后被感染的可执行文件都会变成“熊猫烧香”的图标,这也是该病毒名称的来源。本次捕获的变种由于其在感染可执行文件时会提取原文件的图标并插入到被感染文件中,所以感染后图标不会变。

病毒主要行为如下:

01.png

二、详细分析

2.1 植入部分

病毒运行后首先会将自身复制到%SystemRoot%\System32\drivers\suchost.exe:

02.jpg

病毒程序运行时,会判断其所在目录是否存在Desktop_.ini文件,如果存在的话就将其删除:

09.jpg

排除感染NTDETECT.COM文件,然后通过文件后缀名确认感染目标,感染的文件类型主要分为三类:压缩文件、可执行文件和网页文件:RAR、ZIP、EXE、SCR、PIF、COM、htm、html、asp、php、jsp、aspx:

 10.jpg

在感染文件前先获取文件大小,超过某个值就不感染。压缩文件为20M,可执行文件与网页文件为10M:

11.jpg

对于RAR、ZIP后缀的压缩文件,会执行winrar命令将其解压缩到C:\MyRARwork文件夹,感染其中的文件后再压缩回原目录:

12.jpg

对于EXE、SCR、PIF、COM后缀的可执行文件,首先判断其是否包含字符串“BMW!!”,是的话则不执行感染:

13.jpg

提取原文件的图标,将其临时保存到%Temp%目录:

14.jpg

复制病毒文件覆盖被感染文件:

15.jpg

将图标文件除写入病毒文件,使得被感染的文件图标不变,随后删除图标文件:

16.jpg

随后将被感染的原文件添加到病毒文件后面,并在尾部写入标志:

17.jpg

可执行文件被感染后的结构为:

病毒文件(替换了图标)+原文件+0x00+”BMW!!”+原文件名+”.exe”+0x02+原文件大小+0x01

被感染的可执行文件尾部如下:

20.jpg

运行被感染的文件,会将原文件释放出来,命名为“原文件名+.exe”:

 18.jpg

在Temp目录下创建bat脚本并运行, 在Temp目录下创建bat脚本并运行,bat脚本用于删除被感染的文件并将释放的“原文件名+.exe”重命名为原文件名,内容如下:

21.jpg

对于htm、html、asp、php、jsp、aspx后缀的网页文件的感染,是将恶意链接”<iframe src="hxxp://www.9z9t.com/htmmm/mm.htm" width=0 height=0></iframe>”\”解密后插入到文件末尾:

22.jpg

[3] 局域网传播

对139、445端口进行暴破传播:

23.jpg

2.3 恶意行为部分

停止或卸载杀毒软件:

24.jpg

访问如下网页获取恶意程序下载链接,下载恶意程序并运行:

25.jpg

添加开机自启动项并禁止显示隐藏文件:

26.jpg

关闭网络共享:

27.jpg

将默认浏览器设置为IE,然后将本机mac作为参数访问链接”hxxp://www.daohang08.com/down/tj/mac.asp?mac=”,用于统计中毒主机信息:

28.jpg


三、IOC

MD5:

AE8E8289B688497A672FE90D8A0AAE3F


URL:

hxxp://www.9z9t.com/htmmm/mm.htm

hxxp://www.9z9t.com/down1.txt

hxxp://www.daohang08.com/down/houmendown.txt

hxxp://www.daohang08.com/down/tj/mac.asp?mac=

解决方案

病毒检测查杀

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀:


64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

 

2、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

29.jpg


病毒防御

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。

8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。

9、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

 

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。