欢迎光临我的博客

日志

关于我

lsxblog

文章分类

熊猫烧香病毒

2007-10-07 12:26:18| 分类：电脑维护 | 标签： |举报 |字号大中小订阅

下载LOFTER 我的照片书 |

一、病毒描述：

含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况：

[文件信息]

病毒名: Virus.Win32.EvilPanda.a.ex$

大小: 0xDA00 (55808), (disk) 0xDA00 (55808)

SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D

壳信息: 未知

危害级别：高

病毒名: Flooder.Win32.FloodBots.a.ex$

大小: 0xE800 (59392), (disk) 0xE800 (59392)

SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D

壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24

危害级别：高

三、病毒行为：

Virus.Win32.EvilPanda.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录：

%SystemRoot%\system32\FuckJacks.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"

2、添加注册表启动项目确保自身在系统重启动后被加载：

键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键名：FuckJacks

键值："C:\WINDOWS\system32\FuckJacks.exe"

键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键名：svohost

键值："C:\WINDOWS\system32\FuckJacks.exe"

3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。

C:\autorun.inf 1KB RHS

C:\setup.exe 230KB RHS

4、关闭众多杀毒软件和安全工具。

5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。

6、刷新bbs.qq.com，某QQ秀链接。

7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

Flooder.Win32.FloodBots.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录：

%SystemRoot%\SVCH0ST.EXE

%SystemRoot%\system32\SVCH0ST.EXE

2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：

键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键名：Userinit

键值："C:\WINDOWS\system32\SVCH0ST.exe"

3、连接ddos2.****.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。

配置文件如下：

http://www.victim.net:3389/

http://www.victim.net/

http://www.victim.com/

http://www.victim.net/

1

120

50000

四、解决方案：

1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。

2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序，否则系统响应很慢。

3、中止病毒进程和删除启动项目。

专杀工具：http://0e2.net/upload/Pandakiller.rar

很多人肯定有这样的感觉，杀完之后总觉的电脑还是运行速度慢，并且很容易复发。

其实在对“熊猫烧香”病毒的认识上，还要加深认识，那就是它不仅修改注册表信息、结束一些对头的进程、禁用一系列服务、删除若干安全软件启动项信息、遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件等等。有一个更可怕的是它能自动改动电脑系统内存在的*.asp;*.html,*.js等网页构成文件，在你电脑所有的这些文件的编码自动加上一段病毒指向的代码，如此的隐蔽当然是无法防治了，前面说的两个专杀工具对此也无能无力。因为在杀完之后，只要你一上网，其病毒代码就自动与病毒网站链上，导致病毒再次发作，为此，只好手动删除了。

方法是：1、先用专杀工具查杀 2、用右键打开相应的盘符，不可用左键直接点击盘符。3、用Dreamweaver打开*.asp *.html *.js 这些文件，在编码最后一行，我们可以看到一串病毒指向的网页链接的代码，应用查找功能进行在文件夹内的全面删除，就OK了。

补充：

1. 结束病毒进程

%System%\drivers\spoclsv.exe

2. 删除病毒文件：

%System%\drivers\spoclsv.exe

3. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：

X:\setup.exe

X:\autorun.inf

4. 删除病毒创建的启动项：

[Copy to clipboard]CODE:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"svcshare"="%System%\drivers\spoclsv.exe"

5. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

6. 修复或重新安装反病毒软件

7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件

http://hi.baidu.com/gbgzn/blog/item/f738a91c8e61df8b86d6b629.html

评论这张

转发至微博

阅读(446)| 评论(0)

历史上的今天

this.p={  m:2,
              b:2,
              loftPermalink:'',
              id:'fks_087065093085081065083080083095080094082069092080086064',
              blogTitle:'熊猫烧香病毒 ',
              blogAbstract:'<P style=\"TEXT-INDENT: 2em;\"  \>一、病毒描述： </P\>  <P style=\"TEXT-INDENT: 2em;\"  \>含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。 </P\>  <P style=\"TEXT-INDENT: 2em;\"  \>二、病毒基本情况： </P\>  <P style=\"TEXT-INDENT: 2em;\"  \>[文件信息] </P\>  <P style=\"TEXT-INDENT: 2em;\"  \>病毒名: Virus.Win32.EvilPanda.a.ex$ </P\>  ',
              blogTag:'',
              blogUrl:'blog/static/4836860320079702618114',
              isPublished:1,
              istop:false,
              type:0,
              modifyTime:1317466690308,
              publishTime:1191731178114,
              permalink:'blog/static/4836860320079702618114',
              commentCount:0,
              mainCommentCount:0,
              recommendCount:0,
              bsrk:-100,
              publisherId:0,
              recomBlogHome:false,
              currentRecomBlog:false,
              attachmentsFileIds:[],
              vote:{},
              groupInfo:{},
              friendstatus:'none',
              followstatus:'unFollow',
              pubSucc:'',
              visitorProvince:'',
              visitorCity:'',
              visitorNewUser:false,
              postAddInfo:{},
              mset:'000',
              mcon:'',
              srk:-100,
              remindgoodnightblog:false,
              isBlackVisitor:false,
              isShowYodaoAd:false,
              hostIntro:'',
              hmcon:'1',
              selfRecomBlogCount:'0',
              lofter_single:'<iframe width="140" height="560" style="overflow:hidden;" src="http://www.lofter.com/mailEntry.do?blogad=1&blog" frameBorder="0"></iframe>'
            }

{list a as x}
    {if !!x}
    <div class="iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
      {if x.visitorName==visitor.userName}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        {if x.moveFrom=='wap'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/wapblog.html?frompersonalbloghome"><span title="来自网易手机博客" class="iblock wapIcon"> </span></a>
        {elseif x.moveFrom=='iphone'}
          <a class="noul pnt" target="_blank"><span title="来自iPhone客户端" class="iblock iphoneIcon"> </span></a>
        {elseif x.moveFrom=='android'}
          <a class="noul pnt" target="_blank"><span title="来自Android客户端" class="iblock androidIcon"> </span></a>
        {elseif x.moveFrom=='mobile'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/emsblog.html?frompersonalbloghome"><span title="来自网易短信写博" class="iblock wapIcon"> </span></a>
        {/if}
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
          ${fn(x.visitorNickname,8)|escape}
        </a>
      </div>
    </div>
    {/if}
    {/list}

<#--最新日志，群博日志--> <#--推荐日志-->

<p class="fc06">推荐过这篇日志的人：</p>
    <div>
      {list a as x}
      {if !!x}
      <div class="iblock nbw-fce nbw-f40">
        <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
        <img alt="${x.recommenderNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.recommenderName)}"/>
        </a>
        <div class="cwd thide">
          <a class="fc03 m2a" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
            ${fn(x.recommenderNickname,6)|escape}
          </a>
        </div>
      </div>
      {/if}
      {/list}
    </div>
    {if !!b&&b.length>0}
    <p  class="fc06">他们还推荐了：</p>
    <ul>
    {list b as y}
      {if !!y}
        <li class="rrb"><span class="iblock">·</span><a class="fc03 m2a" target="_blank" href="http://blog.163.com/${y.recommendBlogPermalink}/?from=blog/static/4836860320079702618114">${y.recommendBlogTitle|escape}</a></li>
      {/if}
    {/list}
    </ul>
    {/if}

<#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇，下一篇--> <#-- 热度 -->

{list a as x}
    {if !!x}
    <div class="hotItem iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
      {if x.publisherUsername==visitor.userName}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
          ${fn(x.publisherNickname,8)|escape}
        </a>
      </div>
      <a class="f-myLikeIcons hottype {if x.type==1} js-liketype{elseif x.type==2} js-reblogtype{elseif x.type==3} js-sharetype{else}{/if}" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/"> </a>
    </div>
    {/if}
    {/list}

<#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->

页脚

我的照片书 - 手机博客 - 下载LOFTER APP - 订阅此博客

欢迎光临我的博客

导航

日志

熊猫烧香病毒

历史上的今天

最近读者

热度

评论

页脚