熊貓燒香病毒怎么樣
你了解熊貓燒香病毒嗎?它們是怎么樣的呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的熊貓燒香病毒介紹!希望對(duì)你有幫助!
熊貓燒香病毒介紹一:
1、打開任務(wù)管理器,結(jié)束掉FuckJacks.exe進(jìn)程。
2、右擊每個(gè)分區(qū)盤符選擇“打開”刪除分區(qū)根目錄下面的setup.exe和autorun.inf文件。
3、刪除上面提到的病毒增加的注冊(cè)表值。
4、關(guān)于安全中心的恢復(fù)可以從正常系統(tǒng)中倒入注冊(cè)表,或者跳過這一步,不是特別重要。
5、被病毒覆蓋的文件(覆蓋后的文件大小為30,465字節(jié))是不可恢復(fù)的,直接刪除;被修改的文件用16進(jìn)制編輯器刪除00000000到00007700的代碼段,在文件末尾刪除“WhBoyD.exe.exe.714241.”的代碼段保存即可恢復(fù)原貌。00000000到00007700的代碼段
在文件末尾刪除“WhBoyD.exe.exe.714241.”的代碼段保存即可恢復(fù)原貌。 下面讓我們看看這個(gè)病毒的詳細(xì)分析 作者:killvirus setup.exe File size:22886 bytes SHA-160: 5D3222D8AB6FC11F899EFF32C2C8D3CD50CBD755 MD5 : 9749216A37D57CF4B2E528C027252062 CRC-32 : DE81BD8A 加殼方式:
UPack 編寫語言:Borland Delphi 6.0 - 7.0 感染方式:惡意網(wǎng)頁傳播,其它木馬下載,局域網(wǎng)傳播
感染移動(dòng)存儲(chǔ)設(shè)備 嘗試關(guān)閉窗口 QQKav QQAV 天網(wǎng)防火墻進(jìn)程 VirusScan 網(wǎng)鏢殺毒 毒霸 瑞星 江民 黃山IE 超級(jí)兔子 優(yōu)化大師 木馬克星 木馬清道夫 QQ病毒注冊(cè)表編輯器 系統(tǒng)配置實(shí)用程序 卡巴斯基反病毒 Symantec AntiVirus Duba Windows 任務(wù)管理器 esteem procs 綠鷹PC 密碼防盜 噬菌體
木馬輔助查找器 System Safety Monitor Wrapped gift Killer Winsock Expert 游戲木馬檢測大師 小沈Q盜殺手 pjf(ustc) IceSword 嘗試關(guān)閉進(jìn)程 Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe 刪除以下啟動(dòng)項(xiàng) SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse 禁用以下服務(wù) kavsvc AVP AVPkavsvc McAfeeFramework McShield McTaskManager McAfeeFramework McShield McTaskManager navapsvc KVWSC KVSrvXP KVWSC KVSrvXP Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMon wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 搜索感染除以下目錄外的所有.EXE/.SCR/.PIF/.COM文件,并記有標(biāo)記 WINDOWS Winnt System Volume Information Recycled Windows NT Windows Update Windows Media Player Outlook Express Internet Explorer NetMeeting Common Files ComPlus Applications Messenger InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gamin Zone 刪除.GHO文件 添加以下啟動(dòng)位置 \Documents and Settings\All Users\Start Menu\Programs\Startup\ Documents and Settings\All Users\「開始」菜單\程序\啟動(dòng)\WINDOWS\Start Menu\Programs\Startup\ WINNT\Profiles\All Users\Start Menu\Programs\Startup\
監(jiān)視記錄QQ和訪問局域網(wǎng)文件記錄:c:\test.txt,試圖QQ消息傳送 試圖用以下口令訪問感染局域網(wǎng)文件(GameSetup.exe) 1234 password 6969 harley 123456 golf pussy mustang 1111 shadow 1313 fish 5150 7777 qwerty baseball 2112 letmein 12345678 12345 ccc admin 5201314 qq520 1 12 123 1234567 123456789 654321 54321 111 000000 abc pw 11111111 88888888 pass passwd database abcd abc123 sybase 123qwe server computer 520 super 123asd 0 ihavenopass godblessyou enable xp 2002 2003 2600 alpha 110 111111 121212 123123 1234qwer 123abc 007 aaaa patrick pat administrator root *** god foobar secrettest test123 temp temp123 win pc asdf pwd qwer yxcv zxcv home xxx owner login Login pw123 love mypc mypc123 admin123 mypass mypass123 901100 Administrator Guest admin Root 所有根目錄及移動(dòng)存儲(chǔ)生成 X:\setup.exe X:\autorun.inf [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe 刪除隱藏共享 cmd.exe /c net share $ /del /y cmd.exe /c net share admin$ /del /y cmd.exe /c net share IPC$ /del /y 創(chuàng)建啟動(dòng)項(xiàng): Software\Microsoft\Windows\CurrentVersion\Run svcshare=指向\%system32%\drivers\spoclsv.exe 禁用文件夾隱藏選項(xiàng) SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 海色最新測試過結(jié)果:病毒22,886字節(jié),頭部寫入病毒代碼22,838字節(jié),并在最尾部添加.WhBoy原文件名.exe.原文件字節(jié)數(shù)
熊貓燒香病毒介紹二:
武漢男生”,俗稱“熊貓燒香”,這是一個(gè)感染型的蠕蟲病毒,它能感染系統(tǒng)中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進(jìn)程并且會(huì)刪除擴(kuò)展名為gho的文件,該文件是一系統(tǒng)備份工具GHOST的備份文件,使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。
1:拷貝文件
病毒運(yùn)行后,會(huì)把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加注冊(cè)表自啟動(dòng)
病毒會(huì)添加自啟動(dòng)項(xiàng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行為
a:每隔1秒尋找桌面窗口,并關(guān)閉窗口標(biāo)題中含有以下字符的程序:
QQKav、QQAV、防火墻、進(jìn)程、VirusScan、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級(jí)兔子、優(yōu)化大師、木馬克星、木馬清道夫、QQ病毒、注冊(cè)表編輯器、系統(tǒng)配置實(shí)用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、IceSword
并使用的鍵盤映射的方法關(guān)閉安全軟件IceSword
添加注冊(cè)表使自己自啟動(dòng) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
并中止系統(tǒng)中以下的進(jìn)程:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒點(diǎn)擊病毒作者指定的網(wǎng)頁,并用命令行檢查系統(tǒng)中是否存在共享,共存在的話就運(yùn)行net share命令關(guān)閉admin$共享
c:每隔10秒下載病毒作者指定的文件,并用命令行檢查系統(tǒng)中是否存在共享,共存在的話就運(yùn)行net share命令關(guān)閉admin$共享
d:每隔6秒刪除安全軟件在注冊(cè)表中的鍵值
并修改以下值不顯示隱藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
刪除以下服務(wù):
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染文件
病毒會(huì)感染擴(kuò)展名為exe,pif,com,src的文件,把自己附加到文件的頭部,并在擴(kuò)展名為htm,html, asp,php,jsp,aspx的文件中添加一網(wǎng)址,用戶一但打開了該文件,IE就會(huì)不斷的在后臺(tái)點(diǎn)擊寫入的網(wǎng)址,達(dá)到增加點(diǎn)擊量的目的,但病毒不會(huì)感染以下文件夾名中的文件:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:刪除文件
病毒會(huì)刪除擴(kuò)展名為gho的文件,該文件是一系統(tǒng)備份工具GHOST的備份文件使用戶的系統(tǒng)備份文件丟失。
看了“ 熊貓燒香病毒怎么樣”文章的還看了:
4.熊貓燒香病毒介紹
7.熊貓燒香病毒懲罰