以文本方式查看主题

-  818的家园-论坛(三线军工厂人的家园),欢迎您的光临!让我们共同来建设三线人的网上家园!  (http://818jy.com/index.asp)
--  会员交流  (http://818jy.com/list.asp?boardid=4)
----  注意熊猫烧香病毒:  (http://818jy.com/dispbbs.asp?boardid=4&id=4610)
--  作者:818jiayuan
--  发布时间:2007/1/12 8:41:07
--  注意熊猫烧香病毒:

    这段时间“熊猫烧香”病毒大量发作。我所在公司百台电脑,大部分感染了,最明显的一个特征就是:共享文件夹多了一个熊猫手拿三根香的图标。我的安装了卡巴,没事。
  

   熊猫烧香病毒分析与解决方案

killer (killer<2>uid0.net)
Date:2006-11-20


一、病毒描述:

    含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
   
二、病毒基本情况:

  [文件信息]
 
  病毒名: Virus.Win32.EvilPanda.a.ex$
  大  小: 0xDA00 (55808), (disk) 0xDA00 (55808)
  SHA1  : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
  壳信息: 未知
  危害级别:高
 
  病毒名: Flooder.Win32.FloodBots.a.ex$
  大  小: 0xE800 (59392), (disk) 0xE800 (59392)
  SHA1  : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
  壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
  危害级别:高

三、病毒行为:

   Virus.Win32.EvilPanda.a.ex$ :

   1、病毒体执行后,将自身拷贝到系统目录:

      %SystemRoot%\\system32\\FuckJacks.exe
    
   2、添加注册表启动项目确保自身在系统重启动后被加载:

      键路径:HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
      键名:FuckJacks
      键值:"C:WINDOWS\\system32\\FuckJacks.exe"
     
      键路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
      键名:svohost
      键值:"C:WINDOWS\\system32\\FuckJacks.exe"
     
   3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。

      C:autorun.inf    1KB    RHS
      C:setup.exe    230KB    RHS
     
   4、关闭众多杀毒软件和安全工具。
   5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
   6、刷新bbs.qq.com,某QQ秀链接。
   7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
  
   Flooder.Win32.FloodBots.a.ex$ :
  
   1、病毒体执行后,将自身拷贝到系统目录:

      %SystemRoot%\\SVCH0ST.EXE
      %SystemRoot%\\system32\\SVCH0ST.EXE

   2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
     
      键路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
      键名:Userinit
      键值:"C:WINDOWS\\system32\\SVCH0ST.exe"

   3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
     
      配置文件如下:
      www.victim.net:3389
      www.victim.net:80
      www.victim.com:80
      www.victim.net:80
      1
      1
      120
      50000
     

四、解决方案:

    1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
    2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
    3、中止病毒进程和删除启动项目请看论坛相关图片。
       

这个是清除“熊猫烧香”工具:

点击浏览该文件
--  作者:安安
--  发布时间:2007/1/12 9:16:28
--  
谢谢818jiayuan的提醒```中了病毒就麻烦了!
[此贴子已经被作者于2007-1-12 9:16:57编辑过]
--  作者:柳絮儿
--  发布时间:2007/1/12 9:28:14
--  

年底也是病毒的高发时段,前些日子很多同事的电脑都瘫痪了,我的还好,侥幸逃过一劫。

谢谢818jiayuan提醒。
--  作者:友来友去
--  发布时间:2007/1/12 13:51:15
--  
   你提醒还是晚一步啊,我前几天已经中了这个名字很好听的毒了!
--  作者:caoshm
--  发布时间:2007/1/12 14:03:16
--  

我装了卡巴, 但还是特意检查了一遍, 没事

谢谢
--  作者:Chiu
--  发布时间:2007/1/15 1:16:58
--  
谢谢
符合您条件的共有6条 ,第:1 页/共 1 [1]