熊猫烧香病毒原理、清除/删除方法及解决方案(附最新专杀工具下载) 原创
熊猫烧香病毒原理、清除/删除方法及解决方案(附最新专杀工具下载) 原创
发布时间:2017-01-06 来源:查字典编辑
摘要:熊猫烧香病毒专杀V1.6正式版:本工具实现检测和清除、修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前所有的...

熊猫烧香病毒专杀V1.6正式版:

本工具实现检测和清除、修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前所有的熊猫烧香病毒家族和相关变种。下载地址如下

下载此文件

测试好用,上述软件有两个专杀工具,可以交替使用,效果更好.

含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

超级巡警熊猫烧香专杀工具是目前唯一一款可以查杀所有熊猫烧香变种病毒的工具,实现检测和清除、修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前所有的熊猫烧香病毒家族和相关变种。

Killer(killer<2>uid0.net)

Date:2006-11-20

一、病毒描述:

含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况:

[文件信息]

病毒名:Virus.Win32.EvilPanda.a.ex$

大小:0xDA00(55808),(disk)0xDA00(55808)

SHA1:F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D

壳信息:未知

危害级别:高

病毒名:Flooder.Win32.FloodBots.a.ex$

大小:0xE800(59392),(disk)0xE800(59392)

SHA1:B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D

壳信息:UPX0.89.6-1.02/1.05-1.24

危害级别:高

三、病毒行为:

Virus.Win32.EvilPanda.a.ex$:

1、病毒体执行后,将自身拷贝到系统目录:

%SystemRoot%system32FuckJacks.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunUserinit"C:WIN2Ksystem32SVCH0ST.exe"

2、添加注册表启动项目确保自身在系统重启动后被加载:

键路径:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

键名:FuckJacks

键值:"C:WINDOWSsystem32FuckJacks.exe"

键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

键名:svohost

键值:"C:WINDOWSsystem32FuckJacks.exe"

3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。

C:autorun.inf1KBRHS

C:setup.exe230KBRHS

4、关闭众多杀毒软件和安全工具。

5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。

6、刷新bbs.qq.com,某QQ秀链接。

7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE等程序。

Flooder.Win32.FloodBots.a.ex$:

1、病毒体执行后,将自身拷贝到系统目录:

%SystemRoot%SVCH0ST.EXE

%SystemRoot%system32SVCH0ST.EXE

2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:

键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

键名:Userinit

键值:"C:WINDOWSsystem32SVCH0ST.exe"

3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。

配置文件如下:

www.victim.net:3389

www.victim.net:80

www.victim.com:80

www.victim.net:80

1

1

120

50000

“熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:

%System%driversspoclsv.exe

创建启动项:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"svcshare"="%System%driversspoclsv.exe"

修改注册表信息干扰“显示所有文件和文件夹”设置:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"CheckedValue"=dword:00000000

在各分区根目录生成副本:

X:setup.exe

X:autorun.inf

autorun.inf内容:

[AutoRun]

OPEN=setup.exe

shellexecute=setup.exe

shellAutocommand=setup.exe

尝试关闭下列窗口:

QQKav

QQAV

VirusScan

SymantecAntiVirus

Duba

Windows

esteemprocs

SystemSafetyMonitor

WrappedgiftKiller

WinsockExpert

msctls_statusbar32

pjf(ustc)

IceSword

结束一些对头的进程:

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe

Ravmond.exe

CCenter.exe

RavTask.exe

Rav.exe

Ravmon.exe

RavmonD.exe

RavStub.exe

KVXP.kxp

KvMonXP.kxp

KVCenter.kxp

KVSrvXP.exe

KRegEx.exe

UIHost.exe

TrojDie.kxp

FrogAgent.exe

Logo1_.exe

Logo_1.exe

Rundl132.exe

禁用一系列服务:

Schedule

sharedaccess

RsCCenter

RsRavMon

RsCCenter

RsRavMon

KVWSC

KVSrvXP

kavsvc

AVP

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

SymantecCoreLC

NPFMntor

MskService

FireSvc

删除若干安全软件启动项信息:

RavTask

KvMonXP

kav

KAVPersonal50

McAfeeUpdaterUI

NetworkAssociatesErrorReportingService

ShStatEXE

YLive.exe

yassistse

使用netshare命令删除管理共享:

netshareX$/del/y

netshareadmin$/del/y

netshareIPC$/del/y

遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:

X:WINDOWS

X:Winnt

X:SystemVolumeInformation

X:Recycled

%ProgramFiles%WindowsNT

%ProgramFiles%WindowsUpdate

%ProgramFiles%WindowsMediaPlayer

%ProgramFiles%OutlookExpress

%ProgramFiles%InternetExplorer

%ProgramFiles%NetMeeting

%ProgramFiles%CommonFiles

%ProgramFiles%ComPlusApplications

%ProgramFiles%Messenger

%ProgramFiles%InstallShieldInstallationInformation

%ProgramFiles%MSN

%ProgramFiles%MicrosoftFrontpage

%ProgramFiles%MovieMaker

%ProgramFiles%MSNGaminZone

将自身捆绑在被感染文件前端,并在尾部添加标记信息:

.WhBoy{原文件名}.exe.{原文件大小}.

与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

另外还发现病毒会覆盖少量exe,删除.gho文件。

病毒还尝试使用弱密码访问局域网内其它计算机:

password

harley

golf

pussy

mustang

shadow

fish

qwerty

baseball

letmein

ccc

admin

abc

pass

passwd

database

abcd

abc123

sybase

123qwe

server

computer

super

123asd

ihavenopass

godblessyou

enable

alpha

1234qwer

123abc

aaa

patrick

pat

administrator

root

sex

god

foobar

secret

test

test123

temp

temp123

win

asdf

pwd

qwer

yxcv

zxcv

home

xxx

owner

login

Login

love

mypc

mypc123

admin123

mypass

mypass123

Administrator

Guest

admin

Root

清除步骤

==========

1.断开网络

2.结束病毒进程

%System%driversspoclsv.exe

3.删除病毒文件:

%System%driversspoclsv.exe

4.右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:

X:setup.exe

X:autorun.inf

5.删除病毒创建的启动项:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"svcshare"="%System%driversspoclsv.exe"

6.修改注册表设置,恢复“显示所有文件和文件夹”选项功能:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"CheckedValue"=dword:00000001

7.修复或重新安装反病毒软件

8.使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件

四、解决方案:

1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。

2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。

3、中止病毒进程和删除启动项目请看论坛相关图片。

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类