查看完整版本: [-- 【注意】熊猫烧香(武汉男生) 的分析及处理方法 --]

【 浮游城 - Castle in the Sky | 开放邀请注册,PS|SS|WII|DC下载研究中心 】 -> 【 电脑全方位 | Computer All Round 】 -> 【注意】熊猫烧香(武汉男生) 的分析及处理方法 [打印本页] 登录 -> 注册 -> 回复主题 -> 发表主题

永恒の翼 2007-01-12 22:44

分析:

这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,
它还能中止大量的反病毒软件进程


1:拷贝文件
病毒运行后,会把自己拷贝到
C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动
病毒会添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行为
a:每隔1秒
寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
QQKav
QQAV
防火墙
进程
VirusScan
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马克星
木马清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
esteem proces
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
msctls_statusbar32
pjf(ustc)
IceSword
并使用的键盘映射的方法关闭安全软件IceSword

添加注册表使自己自启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
kvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

b:每隔18秒
点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享

c:每隔10秒
下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
共存在的话就运行net share命令关闭admin$共享

d:每隔6秒
删除安全软件在注册表中的键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStartEXE
YLive.exe
yassistse

并修改以下值不显示隐藏文件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue -> 0x00

删除以下服务:
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
使用户的系统备份文件丢失.

永恒の翼 2007-01-12 22:46
处理方法:

  1.立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。修改方法,右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。

  2.利用组策略,关闭所有驱动器的自动播放功能。

  步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。

  3.修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。

  步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。

  4.时刻保持操作系统获得最新的安全更新,建议用毒霸的漏洞扫描功能,汗,很可惜,现在光缆还没修好,网不通,不好修复。

  5.启用windows防火墙保护本地计算机。


专杀工具:
金山专杀: http://tool.duba.net/zhuansha/253.shtml

皇帝 2007-01-13 12:31
提问
病毒最初是通过啥方式被下载并且自动执行的?

忧郁的心 2007-01-13 13:38
有听说过
好象是说熊猫烧香能把内存给烧坏!
现在我可不敢乱开网站了!

永恒の翼 2007-01-13 16:06
引用
引用第2楼皇帝2007-01-13 12:31发表的“”:
提问
病毒最初是通过啥方式被下载并且自动执行的?


ActiveX 控件下载方式或者是成品病毒方式。再就是双击U盘感染


引用
引用第3楼忧郁的心2007-01-13 13:38发表的“”:
有听说过
好象是说熊猫烧香能把内存给烧坏!
现在我可不敢乱开网站了!


此病毒,不破坏任何硬件,如果硬件坏,只能说是质量问题

ggxxsol 2007-01-13 16:27
确实很厉害,如果中了连还原都不行,现在的病毒啊,太厉害了

皇帝 2007-01-13 19:42
引用
引用第4楼tsubasa2007-01-13 16:06发表的“”:


此病毒,不破坏任何硬件,如果硬件坏,只能说是质量问题

原来最多就AX下载拉,那就不慌了

侠盗Z 2007-01-14 01:21
...我公司有台就中了……太萌了,所有EXE文件差不多都中了……

TNTMAN 2007-01-14 03:10
它怎么自动关闭杀毒软件???那样的话,除了专杀工具以外常用的杀毒软件不就都没用了,该怎么更新?

xteje 2007-01-14 15:06
NND 今天一早起来就发现中病毒了~搞了半天才搞好~浪费我的时间,金钱…………

炯毅 2007-01-15 09:17
我的破电脑中了..奶奶的刚杀了3分之一就出了2800多个了

cbboss2002 2007-01-15 15:46
中就中了嘛,我就无所谓,病毒随便来.我已经两年不装杀毒软件了

紫色风铃 2007-01-15 16:44
引用
引用第11楼cbboss20022007-01-15 15:46发表的“”:
中就中了嘛,我就无所谓,病毒随便来.我已经两年不装杀毒软件了


哇~~~~~~~~强。没想到有和我差不多的,呵。
不过我有3年多没装杀毒软件了,握个手先~~哈。。。

本人觉得不要乱开网站一般都无大碍

炯毅 2007-01-15 17:36
杀了9000多个,都是中在.htm里了,一个JDK,带htm文档的,就杀出来了3000多个

wswc 2007-01-16 18:52
哈哈
我暂时还没中招
还是少开点乱七八糟的网站

windmwt 2007-01-16 19:35
挺牛的病毒啊,现在的程序员越来越厉害了

mizuki 2007-01-17 22:14
引用
引用第1楼tsubasa2007-01-12 22:46发表的“”:
处理方法:

  1.立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。修改方法,右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗格中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。

  2.利用组策略,关闭所有驱动器的自动播放功能。
.......

说实话,这个办法没什么用,最新变种是WINDOWS\system32\drivers\spo0lsv.exe

yksoft1 2007-01-17 22:25
如果不需要Windows的文件与打印机共享。
彻底封死135、139、445、1433、3389端口。卸载网卡的Microsoft文件与打印机共享、Microsoft网络客户端服务,禁用Workstation、Server服务
如果不能禁用它们,则将所有帐户设为强密码,禁止默认共享
在U盘上建立个目录autorun.inf。
可能有些作用。

郁闷王子 2007-01-18 11:04
以前朋友家中过威金~全割了啥事没有鸟~

cybl 2007-01-19 13:34
这么厉害,我以前好象在PSP上中了武汉男生,后来就带到电脑上了,后来还原电脑才好

only-love 2007-01-20 02:57
我也中了~~~~~扫描出来1822个病毒~~~我郁闷死~~重新装了系统才解决的~~~我的游戏啊~~全部没了~~~~~~~~~

从未正常过 2007-01-21 19:21
啊哈,我的前些日子也中了。。。。
卡巴莫名其妙的关掉,第二天就崩溃了。。。。。。
20+G的动漫啊~~~~~~~~~

configxxxx 2007-01-22 17:57
维京中过好多次了,每次都大彻大悟到差点全硬盘格式化,不过总是能在最后关头找到专杀
貌似这个熊猫烧香连维京都不放过……那个logo_1.exe和rundl132.dll都是维京的进程……

PJX8167 2007-01-22 21:54
熊猫烧香和威金都会感染可执行文件~关闭防护软件~~看样子日常做好悲愤是很重要滴哇~

xiao555 2007-01-22 23:11
引用
引用第21楼从未正常过2007-01-21 19:21发表的“”:
啊哈,我的前些日子也中了。。。。
卡巴莫名其妙的关掉,第二天就崩溃了。。。。。。
20+G的动漫啊~~~~~~~~~

Nod32啊.........
你那破机器居然装不上..........

从未正常过 2007-01-27 12:59
我们的局域网面临崩溃中
娃哈哈!
组策略怎么生效?gpupdate打不开。

从未正常过 2007-01-27 13:02
引用
引用第24楼Xiao5552007-01-22 23:11发表的“”:

Nod32啊.........
你那破机器居然装不上..........

切!我一直认为是你的下载包有问题。。。

eastpig 2007-01-29 17:26
单位的机器95%全中奖了,还好我的没事,RP好就是不一样啊!

wuchen880823 2007-01-29 23:46
反正过年要换新的了,现在中不中无所谓

jihao1234567 2007-02-03 16:39
像这种病毒属于流氓型的,不是老属型的。
老鼠型病毒潜伏周期、埋藏深度都有档次,属于有技术含量那一类的。
流氓型病毒基本没有潜伏周期,埋藏深度也很浅,像这个熊猫烧香,一感染就能看出来,然后就是满大街的干掉杀毒软件、写注册表,看中的就是你的薄弱环节,没什么太大的技术含量。


查看完整版本: [-- 【注意】熊猫烧香(武汉男生) 的分析及处理方法 --] [-- top --]


Powered by PHPWind Code © 2003-08 PHPWind
Gzip enabled

You can contact us