P2P-Worm.Win32.Polipos.a 蠕虫公告创建时间:2006-04-22 更新时间:2006-04-22 文章属性:原创 文章提交:killer (killer_at_xfocus.org) P2P-Worm.Win32.Polipos.a 蠕虫公告 Author: killer (killer<2>xfocus.org) Date:2006-4-22 一、病毒描述: 近日,一种新的P2P蠕虫现身网络,该蠕虫不仅仅依靠P2P网络(Gnutella)传播,而且该蠕虫病毒没有实体文件,感染Windows可执行程序,采用EPO(Entry-Point Obscuring)技术对抗启发式扫描,不修改原文件入口点,病毒自带多态/变形引擎,确保每一次感染文件后病毒体均不相同。 二、病毒行为: 1、感染后的载体文件运行后,病毒代码将插入除下列列表的所有系统活动进程: csrss dumprep drwtsn32 smss spoolsv ctfmon ... 2、启动可执行文件感染模块进行感染。 3、启动P2P网络感染模块感染。 4、删除部分反病毒产品的相关程序和文件: antivir.dat lguard.vps ... 5、不感染大多数的反病毒产品文件、EXE Packer主程序,和包括如下字符串的文件: anti ida retina virus firewall debug root hunter hack webroot iss proxy disasm ... 注:自解压的包裹文件被感染后(包括安装程序)将遭到病毒覆盖。 三、清除办法: 目前大多数杀毒厂商对此病毒尚无有效处理方案,今日卡巴斯基的升级中,已经包含了对该病毒的检测,遗憾的是,由于该病毒的加密变形引擎,使得卡巴斯基检测到病毒后采用的临时清除方案是删除染毒文件。 这对于重要的文件感染了病毒后将是个灾难,在杀毒厂商没有提供有效处理方案之前,强烈建议用户开启反病毒产品的监控,预防病毒传播到本机。 对于已经感染的重要程序文件,可以采用手动恢复的办法临时处理: 1、利用PE工具删除病毒增加的区段,同时进行PE校验和修复。 2、利用调试工具载入该文件,定位到调用病毒区段代码,结合上下文代码进行手动代码修复,例: 被病毒破坏的代码: 010061DC . FF75 08 PUSH DWORD PTR SS:[EBP+8] 010061DF E8 2FDD0500 CALL 002.01063F13 010061E4 . 01EB ADD EBX,EBP 010061E6 . 32E8 XOR CH,AL 修复代码: 010061DC |. FF75 08 PUSH DWORD PTR SS:[EBP+8] 010061DF |. FF15 E8130001 CALL DWORD PTR DS:[<&USER32.DefWindowProcW>] ; \DefWindowProcW 010061E5 |. EB 32 JMP SHORT 01006219 010061E7 |> E8 551B0000 CALL 01007D41 ; Case 401 (WM_USER+1) of switch 01006006 |
