-- 电脑软件知识 ( http://www.notery.net/bbs/ShowForum.asp?ForumID=24 )
--- 如何干掉“熊猫烧香” ( http://www.notery.net/bbs/ShowPost.asp?ThreadID=675 )
作者:mugua
发表时间:2007-01-19 11:53:32
你中过熊猫烧香么?!看到过熊猫拿着三支香的样子么!?中招后如何处理!?看完本文,你将学会如何从计算机中杀掉“熊猫烧香”。
惊险查杀过程
1.熊猫烧香病毒:图片就是个熊猫在烧香感觉蛮可爱的!当时并没有很在意!第二天再次打开电脑的时候!几乎电脑所有的EXE文件都成了熊猫烧香图片!这时才有所感觉!
部分EXE文件已经无法正常使用!新加一个AUTORUN.INF的文件!
当初不明白这个文件的作用!在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒!用杀毒软件杀毒!没有效果!看来现在的杀毒软件越来越不行了~..
2.想用组合键打开任务管理器!无法打开~失败....想看看注册表有没什么情况。依然失败!奇怪的是:电脑运行正常。也都不卡!难道不是病毒.是系统出了问题?从网上下了第三方工具查看进程!果然看到两个可疑进程!FuckJacks.exe貌似是最可疑的不敢贸然终止!赶快问问白度大叔!
3.大叔告诉我。是熊猫病毒的进程!一切正如我意!懒的装系统了!
4.先结束FuckJacks.exe进程!开始-运行-CMD 输入:ntsd -c q -p 病毒的PID~终于KILL掉了!一切恢复正常了!兴奋ING...赶快打开注册表
突然注册表又关了.看看进程FuckJacks.exe。又出现了~~那应该它还有个守护进程!找找找。无发现....奇怪了。难道他的守护进程插入到系统
进程了?不会吧.....头疼一阵...。
5.算了,去向朋友找个专杀工具。有一个朋友说他写过熊猫的专杀工具!晕~~原来牛人在我身边。我都没发现~赶快想他请教~~才大概的了解了熊猫烧香~ 叫他给了我一个无壳的熊猫自己分析下~(自己动手.丰衣足食嘛~~)
6.用UI32打开熊猫.看到了条用的部分资源!文件执行后。释放到\system32\FuckJacks.exe下。
7.继续象下可以看到熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染!可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~
8下面就是重要的时刻了!从后面的代码可以看出!病毒的作者是个非常出色的程序员!有非常好的编程习惯!对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点:在感染EXE文件的同时!感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法~(如果被感染者是网站管理人员。后果可想而知了)
病毒程序的运行
在给大家说下病毒的部分运行实现!简单的修改注册表:
有这样一句:WSHELL.REGWIRTE MYREGKEY, MYREGVALUE, MY REGTYPE
第一个是参数的键名:完整路径..
第二个是:键值。。
第三个是:键的类型,
Set wshell=wscript.createobject("wscript.shell")
wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ"
这就是脚本病毒掼用技术~
通用的解决方法
1、就是要关闭自己的默认共享。
首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把
RestrictAnonymous = DWORD的键值改为:00000001。
restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
2、禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)修改注册表删除共享
运行-regedit
找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
把AutoShareServer(DWORD)的键值改为0000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
我门再看看这个病毒功能是多么的强大: 瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效!显然有了精灵的转存功能。值得注意的功能:删除GHOST的功能,控制电脑进行集体的DDOS,更出现了KILL掉KV、瑞星和金山的功能!
再看看病毒的特型:网页传播!电脑的弱口令。默认共享传播!在内网的传播速度非常的快!对企业的居于网有很大的杀伤力!病毒瞬间复制整个硬盘。占用内存极小~
熊猫这款病毒虽然不是很新鲜。但是病毒的作者真的很让人佩服~完全的网络高手!超强的优秀程序员!
忘说了:网络巡警的熊猫专杀工具。就可以杀最新的变种!
作者:mugua
发表时间:2007-01-19 11:55:09
病毒名称:Worm.WhBoy.h
病毒中文名:熊猫烧香(武汉男生)
病毒类型:蠕虫
危险级别:★★★★★
影响平台:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
专杀工具:金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
1:拷贝文件
病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注册表自启动
病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行为
a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:
QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statusbar32、pjf(ustc)、IceSword
并使用的键盘映射的方法关闭安全软件IceSword
添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系统中以下的进程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享,共存在的话就运行net share命令关闭admin$共享
d:每隔6秒删除安全软件在注册表中的键值
并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
删除以下服务:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部,并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:删除文件
病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。
作者:枫
发表时间:2007-01-23 12:16:41
谢谢木瓜!
作者:wwxf
发表时间:2007-01-23 13:10:54
谢谢木瓜,木瓜大师,
作者:冰火
发表时间:2007-01-23 14:10:06
谢谢木瓜专家!
作者:白夜
发表时间:2007-02-01 09:10:14
今天早上看中央2,说是熊猫变金猪了,大家小心猪猪,听说挺厉害的。
作者:mugua
发表时间:2007-02-07 13:11:08
这几天“熊猫烧香”的变种更是表象异常活跃,近半数的网民深受其害。用户除了可以从下载“熊猫烧香”专杀来对付该病毒外,技术专家还总结的以下预防措施,帮你远离“熊猫烧香”病毒的骚扰。
1、立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字特殊字符的组合,自己记得住,别让病毒猜到就行。
修改方法:右键单击我的电脑,选择管理,浏览到本地用户和组,在右边的窗中,选择具备管理员权限的用户名,单击右键,选择设置密码,输入新密码就行。
2.、利用组策略,关闭所有驱动器的自动播放功能。
步骤:单击开始,运行,输入gpedit.msc,打开组策略编辑器,浏览到计算机配置,管理模板,系统,在右边的窗格中选择关闭自动播放,该配置缺省是未配置,在下拉框中选择所有驱动器,再选取已启用,确定后关闭。最后,在开始,运行中输入gpupdate,确定后,该策略就生效了。
3、修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。
步骤:打开资源管理器(按windows徽标键+E),点工具菜单下文件夹选项,再点查看,在高级设置中,选择查看所有文件,取消隐藏受保护的操作系统文件,取消隐藏文件扩展名。
4、启用windows防火墙保护本地计算机。
5、QQ、UC的漏洞已经被该病毒利用,用户应该去他们的官方网站打好最新补丁。
6、该病毒会利用IE浏览器的漏洞进行攻击,因此用户应该给IE打好所有的补丁。如果必要的话,用户可以暂时换用Firefox、Opera等比较安全的浏览器。
对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体。
对于已经感染“熊猫烧香”病毒的用户,反病毒专家建议及时安装正版杀毒软件并升级到最新版本进行查杀,也可登陆以下各大杀毒软件厂商网站免费下载熊猫烧香的专杀工具。
金山毒霸 http://tool.duba.net/zhuansha/253.shtml
瑞星 http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
KV江民 http://www.jiangmin.com/download/VikingKiller.exe
作者:一笑而过
发表时间:2007-02-07 15:27:20
谢谢楼主
作者:白夜
发表时间:2007-02-07 19:06:28
非常感谢木,学了不少。
作者:mugua
发表时间:2007-02-08 09:41:54
据新华社电 金山毒霸反病毒中心监测发现,“熊猫烧香”变身“金猪”肆虐数日后,于2月6日凌晨出现集体“自杀”现象——“熊猫烧香”新变种(Worm.WhBoy.cw)正在大规模“残杀”旧变种。
专家称,该“熊猫烧香”变种的传播性和感染性是已有变种的10倍,极有可能在2月14日、春节期间大规模爆发。
金山毒霸反病毒专家戴光剑说,该“熊猫烧香”变种,不但能感染系统中可执行文件与网页文件,而且能够结束spoclsv.exe、nvscv32.exe、sppoolsv.exe、spo0lsv.exe等旧版变种“熊猫烧香”病毒的进程,表面上看一些“熊猫烧香”病毒被清除,但实质上取而代之的新变种危害更加猛烈。
专家称,从“金猪”到“灯泡男生”再到具备“自杀”功能的新变种,大家对反“熊猫烧香”绝不能掉以轻心。按照目前“熊猫烧香”发展状态,在2月14日、春节等病毒集中爆发的高峰期,该病毒极有可能出现更多更厉害的变种。
根据“熊猫烧香”新变种的传播特点,反病毒专家建议用户及时安装Windows补丁程序,并为登录账号改一个足够强壮的密码,同时不建议开启磁盘自动运行功能。
【相关链接】
“熊猫烧香”病毒爆发路线图
■2006年11月中旬,熊猫烧香病毒首次被截获,病毒专家发现,该病毒隐藏着巨大的传染潜力。
■2006年12月中旬,“熊猫烧香”进入急速变种期,在几次大面积爆发之后,“熊猫烧香”成为众多电脑用户谈之色变的词汇。
■2007年1月9日,“熊猫烧香”迎来了一次全国性的大规模爆发,它的变种数量定格在306个。
■2007年1月19日,“熊猫烧香”发布了一个新的变种,病毒作者同时宣称,这将是“熊猫烧香”最后一次更新。
■2007年1月24日,反病毒工程师们又发现了一种新型病毒,这种病毒和“熊猫烧香”十分相似。
作者:白夜
发表时间:2007-02-08 18:42:33
好恐怖啊。
作者:admin
发表时间:2007-02-13 22:14:58
新华社武汉2月12日电(记者方政军)湖北省公安厅12日宣布,根据统一部署,湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下,一举侦破了制作传播“熊猫烧香”病毒案,抓获李俊(男,25岁,武汉新洲区人)、雷磊(男,25岁,武汉新洲区人)等8名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。
据介绍,2006年底,我国互联网上大规模爆发“熊猫烧香”病毒及其变种,该病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三根香的模样,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快,危害范围广,截至案发为止,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏,引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首,在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。
今年1月中旬,湖北省网监部门根据公安部公共信息网络安全监察局的部署,对“熊猫烧香”病毒的制作者开展调查。经查,熊猫烧香病毒的制作者为湖北省武汉市李俊,据李俊交代,其于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播,并且还以自己出售和由他人代卖的方式,在网络上将该病毒销售给120余人,非法获利10万余元。经病毒购买者进一步传播,导致该病毒的各种变种在网上大面积传播,对互联网用户计算机安全造成了严重破坏。李俊还于2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病毒及“QQ尾巴”病毒。另外,本案另有几个重要犯罪嫌疑人雷磊(男,25岁,武汉新洲区人)、王磊(男,22岁,山东威海人)、叶培新(男,21岁,浙江温州人)、张顺(男,23岁,浙江丽水人)、王哲(男,24岁,湖北仙桃人)通过改写、传播“熊猫烧香”等病毒,构建“僵尸网络”,通过盗窃各种游戏和QQ账号等方式非法牟利。
目前,李俊、雷磊等8名犯罪嫌疑人已被刑事拘留。
作者:mugua
发表时间:2007-02-14 12:15:10
荆楚网(楚天都市报)(记者李波涛)昨日,仙桃警方媒体通报:将择日公开“熊猫烧香”杀毒软件,供网民下载。
昨日下午1时30分,记者在仙桃某看守所见到了李俊。据其交待,制作“熊猫烧香”病毒仅用2个月,当初是为“好玩”,现在后悔不已。警方将李俊抓获后,李在看守所里写下杀毒软件程序,交给了警方。经试验,该程序能在几分 钟内彻底杀灭“熊猫烧香”病毒。
从社会因素看,李俊曾多次上北京、下广州找IT方面的工作,尤其钟情于网络安全公司,可用人单位却多以学历不高、形象欠佳等理由将其拒之门外。当他感到外界力量太大,没有办法解决问题的时候,挫折感又进一步促进他产生对社会的报复心理。为了发泄内心的不满,同时也是抱着赚钱的目的,李俊开始编写病毒,从而最终落下了犯罪的深渊。如此才是其制电脑造病毒危害社会的直接根源。
透过“网络天才”堕落成社会“毒瘤”的背后,让我看到的是国人还缺乏对技能型人才用人的体制,尤其是当下唯权利举荐,唯文凭录用,唯貌相取舍的用人“阴影观”,还深深笼罩着就业市场。因此我认为,如果不尽快改变这一现状,类似“网络天才”堕落成社会“毒瘤”的事件,一定还会产生前仆后继的现实生态诱因。
| 《 公证服务网 》 |
|
Powered by 公证服务网 © 2008-2025 Script Execution Time:27ms ★给仲老师提意见★ |