P2P-Worm.Win32.Polipos.a 蠕虫公告

创建时间：2006-04-22 更新时间：2006-04-22
文章属性：原创
文章提交：killer (killer_at_xfocus.org)

P2P-Worm.Win32.Polipos.a 蠕虫公告



Author: killer (killer<2>xfocus.org)
Date:2006-4-22



一、病毒描述：

    近日，一种新的P2P蠕虫现身网络，该蠕虫不仅仅依靠P2P网络(Gnutella)传播，而且该蠕虫病毒没有实体文件，感染Windows可执行程序，采用EPO(Entry-Point Obscuring)技术对抗启发式扫描，不修改原文件入口点，病毒自带多态/变形引擎，确保每一次感染文件后病毒体均不相同。


二、病毒行为：

    1、感染后的载体文件运行后，病毒代码将插入除下列列表的所有系统活动进程：
    
       csrss
       dumprep
       drwtsn32
       smss
       spoolsv
       ctfmon
       ...
      
    2、启动可执行文件感染模块进行感染。
    
    3、启动P2P网络感染模块感染。
    
  
    4、删除部分反病毒产品的相关程序和文件：
    
       antivir.dat
       lguard.vps
       ...

    5、不感染大多数的反病毒产品文件、EXE Packer主程序，和包括如下字符串的文件：
    
       anti
       ida
       retina
       virus
       firewall
       debug
       root
       hunter
       hack
       webroot
       iss
       proxy
       disasm
       ...
    
    注：自解压的包裹文件被感染后(包括安装程序)将遭到病毒覆盖。


三、清除办法：

   目前大多数杀毒厂商对此病毒尚无有效处理方案，今日卡巴斯基的升级中，已经包含了对该病毒的检测，遗憾的是，由于该病毒的加密变形引擎，使得卡巴斯基检测到病毒后采用的临时清除方案是删除染毒文件。
  
   这对于重要的文件感染了病毒后将是个灾难，在杀毒厂商没有提供有效处理方案之前，强烈建议用户开启反病毒产品的监控，预防病毒传播到本机。

   对于已经感染的重要程序文件，可以采用手动恢复的办法临时处理：
  
   1、利用PE工具删除病毒增加的区段，同时进行PE校验和修复。
  
   2、利用调试工具载入该文件，定位到调用病毒区段代码，结合上下文代码进行手动代码修复，例：
  
      被病毒破坏的代码：
      
  
      010061DC   .  FF75 08         PUSH DWORD PTR SS:[EBP+8]            
      010061DF      E8 2FDD0500     CALL 002.01063F13
      010061E4   .  01EB            ADD EBX,EBP
      010061E6   .  32E8            XOR CH,AL

      修复代码：
  
      010061DC  |.  FF75 08              PUSH DWORD PTR SS:[EBP+8]                        
      010061DF  |.  FF15 E8130001        CALL DWORD PTR DS:[<&USER32.DefWindowProcW>]    ; \DefWindowProcW
      010061E5  |.  EB 32                JMP SHORT 01006219
      010061E7  |>  E8 551B0000          CALL 01007D41                           ;  Case 401 (WM_USER+1) of switch 01006006