最近出现新的病毒名为熊猫烧香,危害较大,感染后所有EXE可执行文件图标变成一个烧香的熊猫,大家电脑如出现此现象可认真阅读以下文章:
一、病毒描述:含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。 二、病毒基本情况:[文件信息]病毒名: Virus.Win32.EvilPanda.a.ex$大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D壳信息: 未知危害级别:高 病毒名: Flooder.Win32.FloodBots.a.ex$大 小: 0xE800 (59392), (disk) 0xE800 (59392)SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24危害级别:高
三、病毒行为:Virus.Win32.EvilPanda.a.ex$ :1、病毒体执行后,将自身拷贝到系统目录:%SystemRoot%\system32\FuckJacks.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Userinit "C:\WIN2K\system32\SVCH0ST.exe"2、添加注册表启动项目确保自身在系统重启动后被加载:键路径:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键名:FuckJacks键值:"C:\WINDOWS\system32\FuckJacks.exe" 键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键名:svohost键值:"C:\WINDOWS\system32\FuckJacks.exe" 3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。 C:\autorun.inf 1KB RHSC:\setup.exe 230KB RHS 4、关闭众多杀毒软件和安全工具。5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。6、刷新bbs.qq.com,某QQ秀链接。7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。 Flooder.Win32.FloodBots.a.ex$ : 1、病毒体执行后,将自身拷贝到系统目录:%SystemRoot%\SVCH0ST.EXE%SystemRoot%\system32\SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目,确保自身在系统重启动后被加载: 键路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键名:Userinit键值:"C:\WINDOWS\system32\SVCH0ST.exe"
3、尝试关闭窗口QQKavQQAV天网防火墙进程VirusScan网镖杀毒毒霸瑞星江民黄山IE超级兔子优化大师木马克星木马清道夫木馬清道夫QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒Symantec AntiVirusDubaWindows 任务管理器esteem procs绿鹰PC密码防盗噬菌体木马辅助查找器System Safety MonitorWrapped gift KillerWinsock Expert游戏木马检测大师小沈Q盗杀手pjf(ustc)IceSword
4、尝试关闭进程Mcshield.exeVsTskMgr.exenaPrdMgr.exeUpdaterUI.exeTBMon.exescan32.exeRavmond.exeCCenter.exeRavTask.exeRav.exeRavmon.exeRavmonD.exeRavStub.exeKVXP.kxpKvMonXP.kxpKVCenter.kxpKVSrvXP.exeKRegEx.exeUIHost.exeTrojDie.kxpFrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exe
删除以下启动项SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTaskSOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXPSOFTWARE\Microsoft\Windows\CurrentVersion\Run\kavSOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUISOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXESOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exeSOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
禁用以下服务kavsvcAVPAVPkavsvcMcAfeeFrameworkMcShieldMcTaskManagerMcAfeeFramework McShieldMcTaskManagernavapsvcKVWSCKVSrvXPKVWSCKVSrvXPSchedulesharedaccessRsCCenterRsRavMonRsCCenterRsRavMonwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantecCore LCNPFMntorMskServiceFireSvc
搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记WINDOWSWinntSystem Volume InformationRecycledWindows NTWindows UpdateWindows Media PlayerOutlook ExpressInternet ExplorerNetMeetingCommon FilesComPlusApplicationsMessengerInstallShield Installation InformationMSNMicrosoft FrontpageMovie MakerMSN Gamin Zone
删除.GHO文件
添加以下启动位置\Documents and Settings\All Users\Start Menu\Programs\Startup\ \Documents and Settings\All Users\「开始」菜单\程序\启动\\WINDOWS\Start Menu\Programs\Startup\\WINNT\Profiles\All Users\Start Menu\Programs\Startup\
监视记录QQ和访问局域网文件记录:c:\test.txt,试图QQ消息传送
试图用以下口令访问感染局域网文件(GameSetup.exe)1234password……adminRoot
所有根目录及移动存储生成X:\setup.exeX:\autorun.inf[AutoRun]OPEN=setup.exeshellexecute=setup.exeshell\Auto\command=setup.exe
删除隐藏共享cmd.exe /c net share $ /del /ycmd.exe /c net share admin$ /del /ycmd.exe /c net share IPC$ /del /y
创建启动项:Software\Microsoft\Windows\CurrentVersion\Runsvcshare=指向\%system32%\drivers\spoclsv.exe禁用文件夹隐藏选项SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
[瑞星专杀]NimayaKiller.rar ( 340.96 K)PandaKiller.rar (269.13 K)