熊猫烧香病毒原理、清除/删除方法及解决方案(附最新专杀工具下载) 原创

熊猫烧香病毒专杀 V1.6正式版:
     本工具实现检测和清除、修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前所有的熊猫烧香病毒家族和相关变种。下载地址如下
下载此文件
测试好用,上述软件有两个专杀工具,可以交替使用,效果更好.
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
     超级巡警熊猫烧香专杀工具是目前唯一一款可以查杀所有熊猫烧香变种病毒的工具,实现检测和清除、修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前所有的熊猫烧香病毒家族和相关变种。
    Killer (killer<2>uid0.net)
    Date:2006-11-20

一、病毒描述:

含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况:

[文件信息]

病毒名: Virus.Win32.EvilPanda.a.ex$
    大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
    SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
    壳信息: 未知
    危害级别:高

病毒名: Flooder.Win32.FloodBots.a.ex$
    大 小: 0xE800 (59392), (disk) 0xE800 (59392)
    SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
    壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
    危害级别:高

三、病毒行为:

Virus.Win32.EvilPanda.a.ex$ :

1、病毒体执行后,将自身拷贝到系统目录:

%SystemRoot%\system32\FuckJacks.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"
    2、添加注册表启动项目确保自身在系统重启动后被加载:

键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    键名:FuckJacks
    键值:"C:\WINDOWS\system32\FuckJacks.exe"

键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    键名:svohost
    键值:"C:\WINDOWS\system32\FuckJacks.exe"

3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。

C:\autorun.inf 1KB RHS
    C:\setup.exe 230KB RHS

4、关闭众多杀毒软件和安全工具。
    5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
    6、刷新bbs.qq.com,某QQ秀链接。
    7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。

Flooder.Win32.FloodBots.a.ex$ :

1、病毒体执行后,将自身拷贝到系统目录:

%SystemRoot%\SVCH0ST.EXE
    %SystemRoot%\system32\SVCH0ST.EXE

2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:

键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    键名:Userinit
    键值:"C:\WINDOWS\system32\SVCH0ST.exe"

3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。

配置文件如下:
    www.victim.net:3389
    www.victim.net:80
    www.victim.com:80
    www.victim.net:80
    1
    1
    120
    50000
    “熊猫烧香”FuckJacks.exe的变种,和之前的变种一样使用白底熊猫烧香图标,病毒运行后复制自身到系统目录下:
    %System%\drivers\spoclsv.exe

创建启动项:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "svcshare"="%System%\drivers\spoclsv.exe"

修改注册表信息干扰“显示所有文件和文件夹”设置:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000000

在各分区根目录生成副本:
    X:\setup.exe
    X:\autorun.inf

autorun.inf内容:
    [AutoRun]
    OPEN=setup.exe
    shellexecute=setup.exe
    shell\Auto\command=setup.exe

尝试关闭下列窗口:
    QQKav
    QQAV
    VirusScan
    Symantec AntiVirus
    Duba
    Windows
    esteem procs
    System Safety Monitor
    Wrapped gift Killer
    Winsock Expert
    msctls_statusbar32
    pjf(ustc)
    IceSword

结束一些对头的进程:
    Mcshield.exe
    VsTskMgr.exe
    naPrdMgr.exe
    UpdaterUI.exe
    TBMon.exe
    scan32.exe
    Ravmond.exe
    CCenter.exe
    RavTask.exe
    Rav.exe
    Ravmon.exe
    RavmonD.exe
    RavStub.exe
    KVXP.kxp
    KvMonXP.kxp
    KVCenter.kxp
    KVSrvXP.exe
    KRegEx.exe
    UIHost.exe
    TrojDie.kxp
    FrogAgent.exe
    Logo1_.exe
    Logo_1.exe
    Rundl132.exe

禁用一系列服务:
    Schedule
    sharedaccess
    RsCCenter
    RsRavMon
    RsCCenter
    RsRavMon
    KVWSC
    KVSrvXP
    kavsvc
    AVP
    McAfeeFramework
    McShield
    McTaskManager
    navapsvc
    wscsvc
    KPfwSvc
    SNDSrvc
    ccProxy
    ccEvtMgr
    ccSetMgr
    SPBBCSvc
    Symantec Core LC
    NPFMntor
    MskService
    FireSvc

删除若干安全软件启动项信息:
    RavTask
    KvMonXP
    kav
    KAVPersonal50
    McAfeeUpdaterUI
    Network Associates Error Reporting Service
    ShStatEXE
    YLive.exe
    yassistse

使用net share命令删除管理共享:
    net share X$ /del /y
    net share admin$ /del /y
    net share IPC$ /del /y

遍历目录,感染除以下系统目录外其它目录中的exe、com、scr、pif文件:
    X:\WINDOWS
    X:\Winnt
    X:\System Volume Information
    X:\Recycled
    %ProgramFiles%\Windows NT
    %ProgramFiles%\WindowsUpdate
    %ProgramFiles%\Windows Media Player
    %ProgramFiles%\Outlook Express
    %ProgramFiles%\Internet Explorer
    %ProgramFiles%\NetMeeting
    %ProgramFiles%\Common Files
    %ProgramFiles%\ComPlus Applications
    %ProgramFiles%\Messenger
    %ProgramFiles%\InstallShield Installation Information
    %ProgramFiles%\MSN
    %ProgramFiles%\Microsoft Frontpage
    %ProgramFiles%\Movie Maker
    %ProgramFiles%\MSN Gamin Zone

将自身捆绑在被感染文件前端,并在尾部添加标记信息:
    .WhBoy{原文件名}.exe.{原文件大小}.

与之前变种不同的是,这个病毒体虽然是22886字节,但是捆绑在文件前段的只有22838字节,被感染文件运行后会出错,而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

另外还发现病毒会覆盖少量exe,删除.gho文件。

病毒还尝试使用弱密码访问局域网内其它计算机:
    password
    harley
    golf
    pussy
    mustang
    shadow
    fish
    qwerty
    baseball
    letmein
    ccc
    admin
    abc
    pass
    passwd
    database
    abcd
    abc123
    sybase
    123qwe
    server
    computer
    super
    123asd
    ihavenopass
    godblessyou
    enable
    alpha
    1234qwer
    123abc
    aaa
    patrick
    pat
    administrator
    root
    sex
    god
    foobar
    secret
    test
    test123
    temp
    temp123
    win
    asdf
    pwd
    qwer
    yxcv
    zxcv
    home
    xxx
    owner
    login
    Login
    love
    mypc
    mypc123
    admin123
    mypass
    mypass123
    Administrator
    Guest
    admin
    Root
    清除步骤
    ==========

1. 断开网络

2. 结束病毒进程
    %System%\drivers\spoclsv.exe

3. 删除病毒文件:
    %System%\drivers\spoclsv.exe

4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
    X:\setup.exe
    X:\autorun.inf

5. 删除病毒创建的启动项:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "svcshare"="%System%\drivers\spoclsv.exe"

6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000001
    7. 修复或重新安装反病毒软件
    8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
    四、解决方案:

1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
    2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
    3、中止病毒进程和删除启动项目请看论坛相关图片。

(0)

相关推荐

  • 熊猫烧香病毒原理、清除/删除方法及解决方案(附最新专杀工具下载) 原创

    熊猫烧香病毒专杀 V1.6正式版:     本工具实现检测和清除.修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前所有的熊猫烧香病毒家族和相关变种.下载地址如下 下载此文件测试好用,上述软件有两个专杀工具,可以交替使用,效果更好.含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个 Autorun.inf文件,使得用户打开该盘时激活病毒体.随后病毒体开一个线程进行本地文件感染,

  • MY123病毒清除方法,专杀工具下载

    近期爆发的恶性病毒?比上次普遍感染的"sxs.exe病毒"更夸张,并且已经从流氓软件的范畴变身为病毒了. 病毒现象: IE 浏览器首页无法改变,被修改为 www.my123.com , 或自动跳转到 7255 . 手动清除方法非常烦琐,并且目前依然不停有变种出来,所以一般用户还是尝试用专杀工具吧 MY123.com 病毒专杀工具 目前许多工具已经针对此病毒发布了最新的专杀工具,已经可以比较方便的删除它了,并且杀毒厂商也关注起来,病毒变种虽然变的快,相信专杀工具也出的不会太晚,请关注下面

  • 文件夹runauto..的删除方法 附批处理专杀工具

    今天发现一个runauto..文件夹,双击不能打开,实际上他的文件夹的名称是这样的如果有一个点例:jb51. 则他的文件夹名位jb51..\  删除方法rd /s/q jb51..\    jb51.. 则他的文件夹名 jb51...\ 删除方法rd /s/q jb51...\即可删除 好了,以下对这个文件进行分析: 其实该文件夹是由dos创建的,全名应该为runauto...说到这里你应该知道为什么不能删了吧. 这样删的方法好易了:(以 D 盘为例) 开始--运行--输入"cmd"-

  • 瑞星流行病毒专杀工具 下载

    流氓软件现象描述: 1,浏览器首页被修改为"w**.3448.com",无法修改. 2,病毒通过API HOOK自我保护. 3,可修改注册表,感染QQ文件导入表. 4,搜索进程名或者窗口文字包含特殊字符串的进程,发现后关闭计算机. 解决方案: 1,安装瑞星卡卡3.0 2,点击"立即升级"按钮,升级到最新版本,重新启动计算机. 3,点击瑞星卡卡3.0界面上的"瑞星免费专杀工具",下载"流氓软件3448"专杀工具进行查杀. 流氓软

  • 威金logo1.exe病毒专杀工具 下载

    病毒专杀-威金logo1.exe 病毒专杀工具包+威金logo1.exe 补丁 病毒专杀-威金logo 1.exe 病毒专杀工具包+威金logo 1.exe 补丁 集合了5个杀毒公司(瑞星,金山)的产品. 和.bat批量删除威金logo 1.exe 病毒的生成文件. 威金logo 1.exe 病毒的补丁. 用了觉得好的话,请多来本站发表评论和留言. 点击下载此文件

  • 杀MSNS使网络瘫痪的病毒msns专杀工具下载

    pskill msns.exe echo "杀MSNS使网络瘫痪的病毒--jb51.net" echo "关闭进程10--" echo "关闭进程9--" echo "关闭进程8--" echo "关闭进程7--" echo "关闭进程6--" echo "杀MSNS使网络瘫痪的病毒--jb51.net" attrib -H -S -R -A %windir%\sys

  • Arp病毒专杀工具 下载

    工具类型:综合工具 ⊙ 操作系统:所有Windows系统 ⊙ 工具大小:1.95 MB ⊙ 提交日期:2007-1-1 ⊙ 访问次数:1590 ⊙ 下载地址:下载地址 ⊙ 工具简介感染了Arp欺骗病毒(木马)的电脑的症状表现如下: 该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网.倘若该病毒机器突然关机或离线,则其它机器又要重

  • 熊猫烧香病毒,熊猫病毒专杀,最新变种清除,删除方法 超强推荐

    近日,江民科技发布紧急病毒警报,一伪装成"熊猫烧香"图案的病毒正在疯狂作案,已有数十家企业局域网遭受重创.来自我国不同地区的企业向江民反病毒中心举报,他们公司正在遭受不明病毒攻击,电脑中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为"熊猫烧香"中毒症状表现为系统蓝屏.频繁重启.硬盘数据被破坏等等,严重的整个公司局域网内所有电脑全部中毒,公司业务几乎陷入停顿.广东.上海等地区也出现了类似病毒疫情,江民大客户技术服务部电话响个不停.迹象表明,"熊

  • 解决http://16a.us/2.js之arp欺骗的方法附专杀工具

    公司局域网访问所有页面都加上了<script src=http://16a.us/2.js></script>代码, 这次是客户端打开的所有网页,故可排除是服务器环境遭遇arp欺骗,综合网上各方意见,得出结论:本地网关或dns被劫持,修复本地连接后故障消除. 根本解决方法,绑定网关mac地址,方法为: 命令行输入arp -s 网关IP 网关MAC 关于网关MAC,可使用arp命令查询. 如果是dns被劫持,则更改dns服务器. 关于js加密解密的两篇文章,想研究上面病毒脚本的朋友可

  • woso.exe,wlso.exe,wmso.exe, woso.exe,ztso.exe 等木马盗号病毒专杀工具

    具体问题是这样的.卡巴杀出这些木马程序,但是我发现在"系统配置实用程序"里面的"启动"选项里面,有一些东西((可能最开始是病毒文件)).比如说,  C;DOCUME~1\Acer\LOCALS~1\Temp\wgso.exe.  C;DOCUME~1\Acer\LOCALS~1\Temp\wlso.exe.  C;DOCUME~1\Acer\LOCALS~1\Temp\wmso.exe.  C;DOCUME~1\Acer\LOCALS~1\Temp\woso.exe

随机推荐