• 所有问题

    • 熊猫烧香病毒和具体的入侵方式和解决办法?

    入驻系统后对各文件的破坏,不要说网页上说的那些东西.要具体的,鄙视抄袭,谢谢了@~

    举报该问题
    其他回答
    第1个回答  2007-01-25
    最近网络中流行“熊猫烧香”病毒,本区教育网内部已经发现有部分学校被感染。该病毒破坏性较大,并且具有ddos攻击功能,占用带宽。现对该病毒进行分析和给出具体查杀办法,请各校积极防范和查杀。

    档案编号:CISRT2006081
    病毒名称:Worm.Win32.Delf.bf(Kaspersky)
    病毒别名:Worm.Nimaya.d(瑞星)
    Win32.Trojan.QQRobber.nw.22835(毒霸)
    病毒大小:22,886 字节
    加壳方式:UPack
    样本MD5:9749216a37d57cf4b2e528c027252062
    样本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
    发现时间:2006.11
    更新时间:2006.11
    关联病毒:
    传播方式:通过恶意网页传播,其它木马下载,可通过局域网、移动存储设备等传播

    技术分析
    ==========
    是“熊猫烧香”FuckJacks.exe的变种,使用白底熊猫烧香图标,
    比如:
    病毒运行后复制自身到系统目录下:
    %System%\drivers\spoclsv.exe
    创建启动项:
    [Copy to clipboard]CODE:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "svcshare"="%System%\drivers\spoclsv.exe"
    修改注册表信息干扰“显示所有文件和文件夹”设置:
    [Copy to clipboard]CODE:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000000
    在各分区根目录生成副本:
    X:\setup.exe
    X:\autorun.inf

    autorun.inf内容:
    [Copy to clipboard]CODE:
    [AutoRun]
    OPEN=setup.exe
    shellexecute=setup.exe
    shell\Auto\command=setup.exe

    尝试关闭窗口
    QQKav
    QQAV
    天网防火墙进程
    VirusScan
    网镖杀毒
    毒霸
    瑞星
    江民
    黄山IE
    超级兔子
    优化大师
    木马克星
    木马清道夫
    木马清道夫
    QQ病毒注册表编辑器
    系统配置实用程序
    卡巴斯基反病毒
    Symantec AntiVirus
    Duba
    Windows 任务管理器
    esteem procs
    绿鹰PC
    密码防盗
    噬菌体
    木马辅助查找器
    System Safety Monitor
    Wrapped gift Killer
    Winsock Expert
    游戏木马检测大师
    小沈Q盗杀手
    pjf(ustc)
    IceSword

    尝试关闭进程
    Mcshield.exe
    VsTskMgr.exe
    naPrdMgr.exe
    UpdaterUI.exe
    TBMon.exe
    scan32.exe
    Ravmond.exe
    CCenter.exe
    RavTask.exe
    Rav.exe
    Ravmon.exe
    RavmonD.exe
    RavStub.exe
    KVXP.kxp
    KvMonXP.kxp
    KVCenter.kxp
    KVSrvXP.exe
    KRegEx.exe
    UIHost.exe
    TrojDie.kxp
    FrogAgent.exe
    Logo1_.exe
    Logo_1.exe
    Rundl132.exe

    禁用以下服务
    kavsvc
    AVP
    AVPkavsvc
    McAfeeFramework
    McShield
    McTaskManager
    McAfeeFramework McShield
    McTaskManager
    navapsvc
    KVWSC
    KVSrvXP
    KVWSC
    KVSrvXP
    Schedule
    sharedaccess
    RsCCenter
    RsRavMon
    RsCCenter
    RsRavMon
    wscsvc
    KPfwSvc
    SNDSrvc
    ccProxy
    ccEvtMgr
    ccSetMgr
    SPBBCSvc
    Symantec
    Core LC
    NPFMntor
    MskService
    FireSvc

    搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记
    WINDOWS
    Winnt
    System Volume Information
    Recycled
    Windows NT
    Windows Update
    Windows Media Player
    Outlook Express
    Internet Explorer
    NetMeeting
    Common Files
    ComPlus
    Applications
    Messenger
    InstallShield Installation Information
    MSN
    Microsoft Frontpage
    Movie Maker
    MSN Gamin Zone

    删除 .GHO文件 <-------注意这点

    添加以下启动位置
    \Documents and Settings\All Users\Start Menu\Programs\Startup\Documents and Settings \All Users\「开始」菜单\程序\启动\WINDOWS\Start Menu\Programs\Startup\WINNT\ Profiles\All Users\Start Menu\Programs\Startup\

    监视记录QQ和访问局域网文件记录:c:\test.txt,试图QQ消息传送

    试图用以下口令访问感染局域网文件(GameSetup.exe)
    1234
    password
    6969
    harley
    123456
    golf
    pussy
    mustang
    1111
    shadow
    1313
    fish
    5150
    7777
    qwerty
    baseball
    2112
    letmein
    12345678
    12345
    ccc
    admin
    5201314
    qq520
    1
    12
    123
    1234567
    123456789
    654321
    54321
    111
    000000
    abc
    pw
    11111111
    88888888
    pass
    passwd
    database
    abcd
    abc123
    sybase
    123qwe
    server
    computer
    520
    super
    123asd
    0
    ihavenopass
    godblessyou
    enable
    xp
    2002
    2003
    2600
    alpha
    110
    111111
    121212
    123123
    1234qwer
    123abc
    007
    aaaa
    patrick
    pat
    administrator
    root
    sex
    god
    foobar
    secrettest
    test123
    temp
    temp123
    win
    pc
    asdf
    pwd
    qwer yxcv
    zxcv
    home
    xxx
    owner
    login
    Login
    pw123
    love
    mypc
    mypc123
    admin123
    mypass
    mypass123
    901100
    Administrator
    Guest
    admin
    Root

    所有根目录及移动存储生成
    X:\setup.exe
    X:\autorun.inf
    [AutoRun]
    OPEN=setup.exe
    shellexecute=setup.exe
    shell\Auto\command=setup.exe

    删除隐藏共享
    cmd.exe /c net share $ /del /y
    cmd.exe /c net share admin$ /del /y
    cmd.exe /c net share IPC$ /del /y

    创建启动项:
    Software\Microsoft\Windows\CurrentVersion\Run
    svcshare=指向\%system32%\drivers\spoclsv.exe
    禁用文件夹隐藏选项
    SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

    清除步骤
    ==========
    1. 断开网络
    2. 结束病毒进程
    %System%\drivers\spoclsv.exe
    3. 删除病毒文件:
    %System%\drivers\spoclsv.exe
    4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
    X:\setup.exe
    X:\autorun.inf
    5. 删除病毒创建的启动项:

    [Copy to clipboard]CODE:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "svcshare"="%System%\drivers\spoclsv.exe"
    6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:

    [Copy to clipboard]CODE:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000001
    7. 修复或重新安装反病毒软件
    8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件.

    请下载熊猫烧香专杀病毒工具查杀

    参考资料:http://hi.baidu.com/260777147

    第2个回答  2007-01-25
    红色预警:预防近期可能疯狂流行病毒-熊猫烧香(武汉男生)Worm.WhBoy.h

    病毒别名:Worm.WhBoy.h 处理时间:2006-12-25 威胁级别:★★
    中文名称:熊猫烧香(武汉男生) 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
    病毒行为:
    这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,
    它还能中止大量的反病毒软件进程

    1:拷贝文件
    病毒运行后,会把自己拷贝到
    C:\WINDOWS\System32\Drivers\spoclsv.exe

    2:添加注册表自启动
    病毒会添加自启动项
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

    3:病毒行为
    a:每隔1秒
    寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
    QQKav
    QQAV
    防火墙
    进程
    VirusScan
    网镖
    杀毒
    毒霸
    瑞星
    江民
    黄山IE
    超级兔子
    优化大师
    木马克星
    木马清道夫
    QQ病毒
    注册表编辑器
    系统配置实用程序
    卡巴斯基反病毒
    Symantec AntiVirus
    Duba
    esteem proces
    绿鹰PC
    密码防盗
    噬菌体
    木马辅助查找器
    System Safety Monitor
    Wrapped gift Killer
    Winsock Expert
    游戏木马检测大师
    msctls_statusbar32
    pjf(ustc)
    IceSword
    并使用的键盘映射的方法关闭安全软件IceSword

    添加注册表使自己自启动
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

    并中止系统中以下的进程:
    Mcshield.exe
    VsTskMgr.exe
    naPrdMgr.exe
    UpdaterUI.exe
    TBMon.exe
    scan32.exe
    Ravmond.exe
    CCenter.exe
    RavTask.exe
    Rav.exe
    Ravmon.exe
    RavmonD.exe
    RavStub.exe
    KVXP.kxp
    kvMonXP.kxp
    KVCenter.kxp
    KVSrvXP.exe
    KRegEx.exe
    UIHost.exe
    TrojDie.kxp
    FrogAgent.exe
    Logo1_.exe
    Logo_1.exe
    Rundl132.exe

    b:每隔18秒
    点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
    共存在的话就运行net share命令关闭admin$共享

    c:每隔10秒
    下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
    共存在的话就运行net share命令关闭admin$共享

    d:每隔6秒
    删除安全软件在注册表中的键值

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    RavTask
    KvMonXP
    kav
    KAVPersonal50
    McAfeeUpdaterUI
    Network Associates Error Reporting Service
    ShStartEXE
    YLive.exe
    yassistse

    并修改以下值不显示隐藏文件
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
    CheckedValue -> 0x00

    删除以下服务:
    navapsvc
    wscsvc
    KPfwSvc
    SNDSrvc
    ccProxy
    ccEvtMgr
    ccSetMgr
    SPBBCSvc
    Symantec Core LC
    NPFMntor
    MskService
    FireSvc

    e:感染文件
    病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
    并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
    用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
    增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
    WINDOW
    Winnt
    System Volume Information
    Recycled
    Windows NT
    WindowsUpdate
    Windows Media Player
    Outlook Express
    Internet Explorer
    NetMeeting
    Common Files
    ComPlus Applications
    Messenger
    InstallShield Installation Information
    MSN
    Microsoft Frontpage
    Movie Maker
    MSN Gamin Zone

    g:删除文件
    病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
    使用户的系统备份文件丢失.
    感染病毒后的截图:

    [ 本帖最后由 qinqf 于 2007-1-19 00:36 编辑 ]

    要把熊猫烧香杀掉要到http://shadu.baidu.com/sitenews/rank.jsp?id=171

    参考资料:http://bbs.enet.com.cn/thread-2922268-1-1.html

    第3个回答  2007-01-25
    .
    相似回答
    熊猫病毒答:解决办法:1、首选专杀工具 专杀工具是效能最好的方案,能处理已知变种,缺点是有新变种后,专杀也需要更新。推荐去www.xiongmaoshaoxiang.com下载专杀。2、在线杀毒 因为熊猫烧香病毒的特殊性,杀毒软件本身可能会被感染,病毒还会尝试结束杀毒软件进程和服务,但病毒不感染IE浏览器,用浏览器加载在线杀毒...
    熊猫烧香是什么病毒,有什么症状?答:被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。1:拷贝文件 病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe 2:添加注册表自启动 病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Driver...
    [系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析答:清除熊猫烧香的关键在于查找和删除其启动项、文件以及病毒操作的监控。例如,通过删除"svcshare"值和spoclsv.exe文件,以及使用Procmon监控病毒活动,如删除setup.exe的网络操作和删除磁盘共享,以确保病毒被彻底清除。后续展望与结语 文章总结了熊猫烧香病毒的分析,但网络安全世界中还有更多新技术挑战,如勒索...
    熊猫烧香病毒是什么答:杀毒方法各种版本的熊猫烧香专杀瑞星 金山 江民超级巡警 李俊虽然用户及时更新杀毒软件病毒库,并下载各杀毒软件公司提供的专杀工具,即可对“熊猫烧香”病毒进行查杀,但是如果能做到防患于未然岂不更好。解决办法【1】 立即检查本机administrator组成员口令,一定要放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合...
    怎么防御“熊猫烧香病毒?答:ikaka.com免费下载使用。卡卡助手中独创的“IE防漏墙”技术可有效阻止“熊猫烧香”等病毒及流氓软件利用IE、QQ、UC等漏洞侵入用户的计算机。安装卡卡助手后,屏幕右下角的托盘区会出现“IE防漏墙”的图标。当用户访问的网站带有恶意代码时会自动弹出提示窗口,建议用户点击“阻止”按钮阻止病毒侵入。
    "熊猫烧香"电脑病毒的危害!!!答:建议你去瑞星官网下个专杀工具:http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml 江民专杀工具下载地址:http://www.jiangmin.com/download/VikingKiller.exe 熊猫烧香病毒专杀及手动修复方案 http://www.pconline.com.cn/pcedu/soft/virus/safe/0701/942893.html ...
    大家正在搜