熊猫烧香图标病毒详解

  最近出现新的病毒名为熊猫烧香,危害较大,感染后所有EXE可执行文件图标变成一个烧香的熊猫,大家电脑如出现此现象可认真阅读以下文章:

  一、病毒描述:

  含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

  二、病毒基本情况:

  [文件信息]

  病毒名: Virus.Win32.EvilPanda.a.ex$

  大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)

  SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D

  壳信息: 未知

  危害级别:高

  病毒名: Flooder.Win32.FloodBots.a.ex$

  大 小: 0xE800 (59392), (disk) 0xE800 (59392)

  SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D

  壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24

  危害级别:高

  三、病毒行为:

  Virus.Win32.EvilPanda.a.ex$ :

  1、病毒体执行后,将自身拷贝到系统目录:

  %SystemRoot%system32FuckJacks.exe

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Userinit "C:WIN2Ksystem32SVCH0ST.exe"

  2、添加注册表启动项目确保自身在系统重启动后被加载:

  键路径:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

  键名:FuckJacks

  键值:"C:WINDOWSsystem32FuckJacks.exe"

  键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

  键名:svohost

  键值:"C:WINDOWSsystem32FuckJacks.exe"

  3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。 C:autorun.inf 1KB RHS

  C:setup.exe 230KB RHS

  4、关闭众多杀毒软件和安全工具。

  5、连接*****.3322.org下载某文件,并根据该文件记录的地址,下载某ddos程序,下载成功后执行该程序。

  6、刷新bbs.qq.com,某QQ秀链接。

  7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。

  Flooder.Win32.FloodBots.a.ex$ :

  1、病毒体执行后,将自身拷贝到系统目录:

  %SystemRoot%SVCH0ST.EXE

  %SystemRoot%system32SVCH0ST.EXE

  2、该病毒后下载运行后,添加注册表启动项目,确保自身在系统重启动后被加载:

  键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

  键名:Userinit

  键值:"C:WINDOWSsystem32SVCH0ST.exe"

  3、尝试关闭窗口

  QQKav

  QQAV

  天网防火墙进程

  VirusScan

  网镖杀毒

  毒霸

  瑞星

  江民

  黄山IE

  超级兔子

  优化大师

  木马克星

  木马清道夫

  木馬清道夫

  QQ病毒注册表编辑器

  系统配置实用程序

  卡巴斯基反病毒

  Symantec AntiVirus

  Duba

  Windows 任务管理器

  esteem procs

  绿鹰PC

  密码防盗

  噬菌体

  木马辅助查找器

  System Safety Monitor

  Wrapped gift Killer

  Winsock Expert

  游戏木马检测大师

  小沈Q盗杀手

  pjf(ustc)

  IceSword

  4、尝试关闭进程

  Mcshield.exe

  VsTskMgr.exe

  naPrdMgr.exe

  UpdaterUI.exe

  TBMon.exe

  scan32.exe

  Ravmond.exe

  CCenter.exe

  RavTask.exe

  Rav.exe

  Ravmon.exe

  RavmonD.exe

  RavStub.exe

  KVXP.kxp

  KvMonXP.kxp

  KVCenter.kxp

  KVSrvXP.exe

  KRegEx.exe

  UIHost.exe

  TrojDie.kxp

  FrogAgent.exe

  Logo1_.exe

  Logo_1.exe

  Rundl132.exe

  删除以下启动项

  SOFTWAREMicrosoftWindowsCurrentVersionRunRavTask

  SOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXP

  SOFTWAREMicrosoftWindowsCurrentVersionRunkav

  SOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50

  SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUI

  SOFTWAREMicrosoftWindowsCurrentVersionRunNetwork Associates Error Reporting

  ServiceSOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXE

  SOFTWAREMicrosoftWindowsCurrentVersionRunYLive.exe

  SOFTWAREMicrosoftWindowsCurrentVersionRunyassistse

  禁用以下服务

  kavsvc

  AVP

  AVPkavsvc

  McAfeeFramework

  McShield

  McTaskManager

  McAfeeFramework McShield

  McTaskManager

  navapsvc

  KVWSC

  KVSrvXP

  KVWSC

  KVSrvXP

  Schedule

  sharedaccess

  RsCCenter

  RsRavMon

  RsCCenter

  RsRavMon

  wscsvc

  KPfwSvc

  SNDSrvc

  ccProxy

  ccEvtMgr

  ccSetMgr

  SPBBCSvc

  Symantec

  Core LC

  NPFMntor

  MskService

  FireSvc

  搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记

  WINDOWS

  Winnt

  System Volume Information

  Recycled

  Windows NT

  Windows Update

  Windows Media Player

  Outlook Express

  Internet Explorer

  NetMeeting

  Common Files

  ComPlus

  Applications

  Messenger

  InstallShield Installation Information

  MSN

  Microsoft Frontpage

  Movie Maker

  MSN Gamin Zone

  删除.GHO文件

  添加以下启动位置

  Documents and SettingsAll UsersStart MenuProgramsStartup

  Documents and SettingsAll Users「开始」菜单程序启动

  WINDOWSStart MenuProgramsStartup

  WINNTProfilesAll UsersStart MenuProgramsStartup

  监视记录QQ和访问局域网文件记录:c:test.txt,试图QQ消息传送

  试图用以下口令访问感染局域网文件(GameSetup.exe)

  1234

  password

  ……

  admin

  Root

  所有根目录及移动存储生成

  X:setup.exe

  X:autorun.inf

  [AutoRun]

  OPEN=setup.exe

  shellexecute=setup.exe

  shellAutocommand=setup.exe

  删除隐藏共享

  cmd.exe /c net share $ /del /y

  cmd.exe /c net share admin$ /del /y

  cmd.exe /c net share IPC$ /del /y

  创建启动项:

  SoftwareMicrosoftWindowsCurrentVersionRun

  svcshare=指向%system32%driversspoclsv.exe

  禁用文件夹隐藏选项

  SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced

  FolderHiddenSHOWALLCheckedValue

(0)

相关推荐

  • win7隐藏任务栏图标方法详解(图) win7任务栏小白旗优化

    在Windows 7中有一个隐藏任务栏图标的新功能。在装完Windows 7系统后在任务栏中会发现一个小白旗的图标,鼠标放到这个小白旗的上面,就提示操作中心的提示信息。 图1 图2 但小编看了看这些提 ...

  • 熊猫烧香病毒是什么

    熊猫烧香是一种经过多次变种的蠕虫病毒变种,2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写,2007年1月初肆虐网络,它主要通过下载的档案传染.对计算机程序.系统破坏严重. 基本信息 病毒 ...

  • Win10预览版界面改动详解:扁平化的图标+更窄的边框+新的开始菜单

    微软新一代Windows10都带来了哪些变化和新功能?相信这是不少PC用户所关心的问题。除了开始菜单和虚拟桌面这样的显著功能之外,Windows10还拥有不少改变了系统外观和感觉的细微改动,科技网站D ...

  • win8病毒防护程序怎么关闭 win8关闭病毒防护程序的方法详解

    有时候win8自带的病毒防护程序过于灵敏导致误删东西或者是拦截程序的情况,有时候还原系统的时候因为在安全模式下不能还原成功需要关闭病毒防护程序才可以.遇到这样的情况,我们需要关闭病毒防护程序.那么wi ...

  • 万兴数据恢复专家恢复因病毒攻击丢失文件的图文详解

    万兴数据恢复专家如何恢复因病毒攻击丢失的文件?万兴数据恢复专家是一款功能齐全的数据恢复工具,软件支持视频.图片,文件等快速恢复,当用户遇到因病毒攻击所导致的文件丢失问题是要怎么办呢?接下来的文章中小编 ...

  • 王者荣耀QQ图标点亮方法详解 qq图标怎么点亮

    qq王者荣耀图标怎么点亮,qq王者荣耀图标能显示在小伙伴们的qq上,让别人都能看见,因此不少小伙伴们最关心的就是这个究竟怎么点亮,今天小编就为各位玩家带来王者荣耀图标点亮方法详解,一起来看看吧. 操作 ...

  • Win10右下角图标怎么隐藏图文详解

    Win10右下角图标怎么隐藏图文详解 操作方法 01 1.首先点击左下角,点击进入设置: 02 2.点击进入系统: 03 3.点击"通知和操作": 04 接着点击----选择在任务 ...

  • Windows 7全方位的安全保护功能详解

    怎么?对Wndows 7不了解?不知道怎么使用?没关系,IT168软件群组为您准备了《教你学Windows 7》系列教程。该教程共分为初级篇、中级篇、高级篇三部分,通过这个系列教程我们可爱的七仔将教你 ...

  • 疯狂填字答案攻略合集三 21-30关答案详解

    操作方法 01 前面为大家整理了疯狂填字11-20关的所有答案,下面,我们再来看看21-30关的答案都是些什么吧.另外作为一款非常好玩的中文填字游戏,疯狂填字很适合打发时间和开拓思路哦,如果您还没与玩 ...