熊貓燒香病毒怎麼樣
你瞭解熊貓燒香病毒嗎?它們是怎麼樣的呢?下面由小編給你做出詳細的熊貓燒香病毒介紹!希望對你有幫助!
熊貓燒香病毒介紹一:
1、開啟工作管理員,結束掉FuckJacks.exe程序。
2、右擊每個分割槽碟符選擇“開啟”刪除分割槽根目錄下面的setup.exe和autorun.inf檔案。
3、刪除上面提到的病毒增加的登錄檔值。
4、關於安全中心的恢復可以從正常系統中倒入登錄檔,或者跳過這一步,不是特別重要。
5、被病毒覆蓋的檔案***覆蓋後的檔案大小為30,465位元組***是不可恢復的,直接刪除;被修改的檔案用16進位制編輯器刪除00000000到00007700的程式碼段,在檔案末尾刪除“WhBoyD.exe.exe.714241.”的程式碼段儲存即可恢復原貌。00000000到00007700的程式碼段
在檔案末尾刪除“WhBoyD.exe.exe.714241.”的程式碼段儲存即可恢復原貌。 下面讓我們看看這個病毒的詳細分析 作者:killvirus setup.exe File bytes SHA-160: 5D3222D8AB6FC11F899EFF32C2C8D3CD50CBD755 MD5 : 9749216A37D57CF4B2E528C027252062 CRC-32 : DE81BD8A 加殼方式:
UPack 編寫語言:Borland Delphi 6.0 - 7.0 感染方式:惡意網頁傳播,其它木馬下載,區域網傳播
感染移動儲存裝置 嘗試關閉視窗 QQKav QQAV 天網防火牆程序 VirusScan 網鏢防毒 毒霸 瑞星 江民 黃山IE 超級兔子 優化大師 木馬克星 木馬清道夫 QQ病毒登錄檔編輯器 系統配置實用程式 卡巴斯基反病毒 Symantec AntiVirus Duba Windows 工作管理員 esteem procs 綠鷹PC 密碼防盜 噬菌體
木馬輔助查詢器 System Safety Monitor Wrapped gift Killer Winsock Expert 遊戲木馬檢測大師 小沈Q盜殺手 pjf***ustc*** IceSword 嘗試關閉程序 Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe 刪除以下啟動項 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50 SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse 禁用以下服務 kavsvc AVP AVPkavsvc McAfeeFramework McShield McTaskManager McAfeeFramework McShield McTaskManager navapsvc KVWSC KVSrvXP KVWSC KVSrvXP Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMon wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 搜尋感染除以下目錄外的所有.EXE/.SCR/.PIF/.COM檔案,並記有標記 WINDOWS Winnt System Volume Information Recycled Windows NT Windows Update Windows Media Player Outlook Express Internet Explorer NetMeeting Common Files ComPlus Applications Messenger InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gamin Zone 刪除.GHO檔案 新增以下啟動位置 \Documents and Settings\All Users\Start Menu\Programs\Startup\ Documents and Settings\All Users\「開始」選單\程式\啟動\WINDOWS\Start Menu\Programs\Startup\ WINNT\Profiles\All Users\Start Menu\Programs\Startup\
監視記錄QQ和訪問區域網檔案記錄:c:\test.txt,試圖QQ訊息傳送 試圖用以下口令訪問感染區域網檔案***GameSetup.exe*** 1234 password 6969 harley 123456 golf pussy mustang 1111 shadow 1313 fish 5150 7777 qwerty baseball 2112 letmein 12345678 12345 ccc admin 5201314 qq520 1 12 123 1234567 123456789 654321 54321 111 000000 abc pw 11111111 88888888 pass passwd database abcd abc123 sybase 123qwe server computer 520 super 123asd 0 ihavenopass godblessyou enable xp 2002 2003 2600 alpha 110 111111 121212 123123 1234qwer 123abc 007 aaaa patrick pat administrator root *** god foobar secrettest test123 temp temp123 win pc asdf pwd qwer yxcv zxcv home xxx owner login Login pw123 love mypc mypc123 admin123 mypass mypass123 901100 Administrator Guest admin Root 所有根目錄及移動儲存生成 X:\setup.exe X:\autorun.inf [AutoRun] OPEN=setup.exe shellexecute=setup.exe shell\Auto\command=setup.exe 刪除隱藏共享 cmd.exe /c net share $ /del /y cmd.exe /c net share admin$ /del /y cmd.exe /c net share IPC$ /del /y 建立啟動項: Software\Microsoft\Windows\CurrentVersion\Run svcshare=指向\%system32%\drivers\spoclsv.exe 禁用資料夾隱藏選項 SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 海色最新測試過結果:病毒22,886位元組,頭部寫入病毒程式碼22,838位元組,並在最尾部新增.WhBoy原檔名.exe.原檔案位元組數
熊貓燒香病毒介紹二:
武漢男生”,俗稱“熊貓燒香”,這是一個感染型的蠕蟲病毒,它能感染系統中exe,com,pif,src,html,asp等檔案,它還能中止大量的反病毒軟體程序並且會刪除副檔名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案,使使用者的系統備份檔案丟失。被感染的使用者系統中所有.exe可執行檔案全部被改成熊貓舉著三根香的模樣。
1:拷貝檔案
病毒執行後,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe
2:添加註冊表自啟動
病毒會新增自啟動項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
3:病毒行為
a:每隔1秒尋找桌面視窗,並關閉視窗標題中含有以下字元的程式:
QQKav、QQAV、防火牆、程序、VirusScan、網鏢、防毒、毒霸、瑞星、江民、黃山IE、超級兔子、優化大師、木馬克星、木馬清道夫、QQ病毒、登錄檔編輯器、系統配置實用程式、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查詢器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、遊戲木馬檢測大師、msctls_statusbar32、pjf***ustc***、IceSword
並使用的鍵盤對映的方法關閉安全軟體IceSword
添加註冊表使自己自啟動 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe
並中止系統中以下的程序:
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
b:每隔18秒點選病毒作者指定的網頁,並用命令列檢查系統中是否存在共享,共存在的話就執行net share命令關閉admin$共享
c:每隔10秒下載病毒作者指定的檔案,並用命令列檢查系統中是否存在共享,共存在的話就執行net share命令關閉admin$共享
d:每隔6秒刪除安全軟體在登錄檔中的鍵值
並修改以下值不顯示隱藏檔案 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue -> 0x00
刪除以下服務:
navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc
e:感染檔案
病毒會感染副檔名為exe,pif,com,src的檔案,把自己附加到檔案的頭部,並在副檔名為htm,html, asp,php,jsp,aspx的檔案中新增一網址,使用者一但打開了該檔案,IE就會不斷的在後臺點選寫入的網址,達到增加點選量的目的,但病毒不會感染以下資料夾名中的檔案:
WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone
g:刪除檔案
病毒會刪除副檔名為gho的檔案,該檔案是一系統備份工具GHOST的備份檔案使使用者的系統備份檔案丟失。