近日,江民科技发布紧急病毒警报,一伪装成“熊猫烧香”图案的病毒正在疯狂作案,已有数十家企业局域网遭受重创。来自我国不同地区的企业向江民反病毒中心举报,他们公司正在遭受不明病毒攻击,电脑中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为“熊猫烧香”
中毒症状表现为系统蓝屏、频繁重启、硬盘数据被破坏等等,严重的整个公司局域网内所有电脑全部中毒,公司业务几乎陷入停顿。广东、上海等地区也出现了类似病毒疫情,江民大客户技术服务部电话响个不停。迹象表明,“熊猫烧香”病毒有集中爆发可能。
使用熊猫烧香病毒专杀 后恢复正常
江民反病毒工程师分析,该病毒为“威金”蠕虫病毒新变种,自从去年被截获以来,已经感染了超过30万台电脑,几乎每天都有新变种出现。该病毒可以通过局域网传播,病毒发作严重时可导致局域网瘫痪。而值得关注的是,感染该病毒的多数是没有安装网络版杀毒软件的小型企业用户。
小企业局域网成重灾区
苏州经济园区的某企业高女士说,他们公司是一家金属制品的中小型公司,这两天公司的网络服务器突然出现频繁重启现象,经检查后发现,电脑中出现了五个不明文件,所有可执行文案都被改成一个奇怪的熊猫烧香图案,由于服务器故障,导致整个局域网全部瘫痪。北京某工程公司也出现了类似现象,更糟糕的是他们公司遭受病毒攻击的是财务部,整个财务部8台电脑频频出现蓝屏、死机现象,电脑中同样出现了“熊猫烧香”的图案,公司对外财务结算完全停顿,总经理为此大为光火。
资料显示,我国目前有小企业1000万家以上,而近年来盛行的SOHO型家庭式创业型小公司更是不计其数,这些企业由于处于创业初期,往往在网络安全方面没有设防,多数企业仅靠安装一套单机版杀毒软件来防范病毒,由于单机版杀毒软件无法对威金此类通过局域网传播的病毒进行统一防杀,最终导致局域网内病毒屡杀不绝,病毒在通过网络在电脑间来回流窜,许多小企业局域网甚至长期“养”着一种以上的网络病毒。
江民反病毒工程师介绍,在他们接到的求助企业中,多数企业由于感染病毒导致业务不能正常开展,少则一两小时,多则一两天无法正常工作,产生的直接和间接损失远远超过购买一套网络版杀毒软件的价格。
单机版及病毒专杀无法杀尽局域网病毒
据调查,超过70%的中小企业并不愿意选购网络版级的杀毒软件,而更倾向于单机版杀毒软件,而其中价格无疑是阻碍小企业应用网络版的最大障碍。网络版杀毒软件由于长期应用在高端企业市场,在普通用户心目中属于一种“奢侈”的产品,以拥有25台电脑的小企业局域网计算,国内主流的相同配置的网络版杀毒软件价格在10000到17000元之间,面对高高在上的价格,那些为了创业省吃俭用的SOHO一族需要下多大的决心才能购买!而更多的小企业主则在遭到病毒攻击时,被动地购买一套单机版杀毒软件应急。
尽管单机版杀毒软件甚至免费的专杀工具也能杀掉病毒,但在互联互通的局域里,这些杀毒软件和专杀工具却往往顾此失彼,通常是这台机器病毒杀掉了,却又感染给了另一台机器,来回反复,让网管员疲于应付。如果仅仅是几台电脑还可能用断开网线的方式逐台杀毒,而如果是数十台上百台电脑,对于网管员的来讲无疑是一场噩梦。
江民反病毒专家介绍,由于单机版并不具备网络版杀毒软件的统一杀毒、统一监控、统一设置、统一升级、远程控制等功能,因此在对付局域网病毒上存在先天缺陷,对付通过局域网传播的网络病毒,只能利用网络版杀毒软件进行全网统一查杀。
熊猫烧香病毒专杀解决方案
第一步打补丁:下载Firefox,12月份新的带Google上网工具的Firefox浏览器已经集成了熊猫烧香病毒的补丁,如果你是电脑高手更应该了解,针对IE7的漏洞,最新Firefox已经修补了这些补丁。没有此补丁,杀了病毒还会有,下载后安装并运行一次,自动安装此病毒补丁。官方网站 点击进入 点右边的立即免费的下载按钮下载。
第二步:下载超级巡警熊猫烧香病毒专杀工具。
下载最新专杀工具:
瑞星最新熊猫烧香专杀工具
点击下载
江民最新熊猫烧香专杀工具
点击下载
金山最新熊猫烧香专杀工具
点击下载
熊猫烧香病毒11月快速蔓延,至今已经出现了十几个变种。可见其破坏范围之广!
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
超级巡警熊猫烧香专杀工具是目前唯一一款可以查杀所有熊猫烧香变种病毒的工具,实现检测和清除、修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前所有的熊猫烧香病毒家族和相关变种。
Killer (killeruid0.net)
Date:2006-11-20
一、病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
二、病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
三、病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%system32FuckJacks.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Userinit "C:WIN2Ksystem32SVCH0ST.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
键名:FuckJacks
键值:"C:WINDOWSsystem32FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键名:svohost
键值:"C:WINDOWSsystem32FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%SVCH0ST.EXE
%SystemRoot%system32SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键名:Userinit
键值:"C:WINDOWSsystem32SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000
“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
%System%driversspoclsv.exe
创建启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"svcshare"="%System%driversspoclsv.exe"
修改注册表信息干扰“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000000
在各分区根目录生成副本:
X:setup.exe
X:autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shellAutocommand=setup.exe
尝试关闭下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
结束一些对头的进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用一系列服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
删除若干安全软件启动项信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令删除管理共享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
X:WINDOWS
X:Winnt
X:System Volume Information
X:Recycled
%ProgramFiles%Windows NT
%ProgramFiles%WindowsUpdate
%ProgramFiles%Windows Media Player
%ProgramFiles%Outlook Express
%ProgramFiles%Internet Explorer
%ProgramFiles%NetMeeting
%ProgramFiles%Common Files
%ProgramFiles%ComPlus Applications
%ProgramFiles%Messenger
%ProgramFiles%InstallShield Installation Information
%ProgramFiles%MSN
%ProgramFiles%Microsoft Frontpage
%ProgramFiles%Movie Maker
%ProgramFiles%MSN Gamin Zone
将自身捆绑在被感染文件前端,并在尾部添加标记信息:
.WhBoy{原文件名}.exe.{原文件大小}.
与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。
另外还发现病毒会覆盖少量exe,删除.gho文件。
病毒还尝试使用弱密码访问局域网内其它计算机:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步骤
==========
1. 断开网络
2. 结束病毒进程
%System%driversspoclsv.exe
3. 删除病毒文件:
%System%driversspoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:setup.exe
X:autorun.inf
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"svcshare"="%System%driversspoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
四、解决方案:
1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
3、中止病毒进程和删除启动项目