下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 3497|回复: 8
打印 上一主题 下一主题

关于“熊猫烧香”病毒

[复制链接]
  • TA的每日心情
    奋斗
    12 小时前
  • 签到天数: 2384 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2007-1-10 14:11:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    今天偶实验室一台电脑中了这个病毒,卡巴斯基被禁用,exe文件不能调用,而且原先作的ghost备份文件也被删了。一开始重装系统也没解决问题,后来用了金山网站上的方法,终于搞定了。把原文转帖如下,希望对朋友们有帮助!
    Worm.WhBoy.h我要评论   
    病毒别名:处理时间:2006-12-25威胁级别:★★
    中文名称:熊猫烧香(武汉男生)病毒类型:蠕虫影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
    病毒行为:
    这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,
    它还能中止大量的反病毒软件进程


    1:拷贝文件
    病毒运行后,会把自己拷贝到
    C:\WINDOWS\System32\Drivers\spoclsv.exe

    2:添加注册表自启动
    病毒会添加自启动项
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

    3:病毒行为
    a:每隔1秒
    寻找桌面窗口,并关闭窗口标题中含有以下字符的程序
    QQKav
    QQAV
    防火墙
    进程
    VirusScan
    网镖
    杀毒
    毒霸
    瑞星
    江民
    黄山IE
    超级兔子
    优化大师
    木马克星
    木马清道夫
    QQ病毒
    注册表编辑器
    系统配置实用程序
    卡巴斯基反病毒
    Symantec AntiVirus
    Duba
    esteem proces
    绿鹰PC
    密码防盗
    噬菌体
    木马辅助查找器
    System Safety Monitor
    Wrapped gift Killer
    Winsock Expert
    游戏木马检测大师
    msctls_statusbar32
    pjf(ustc)
    IceSword
    并使用的键盘映射的方法关闭安全软件IceSword

    添加注册表使自己自启动
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe

    并中止系统中以下的进程:
    Mcshield.exe
    VsTskMgr.exe
    naPrdMgr.exe
    UpdaterUI.exe
    TBMon.exe
    scan32.exe
    Ravmond.exe
    CCenter.exe
    RavTask.exe
    Rav.exe
    Ravmon.exe
    RavmonD.exe
    RavStub.exe
    KVXP.kxp
    kvMonXP.kxp
    KVCenter.kxp
    KVSrvXP.exe
    KRegEx.exe
    UIHost.exe
    TrojDie.kxp
    FrogAgent.exe
    Logo1_.exe
    Logo_1.exe
    Rundl132.exe

    b:每隔18秒
    点击病毒作者指定的网页,并用命令行检查系统中是否存在共享
    共存在的话就运行net share命令关闭admin$共享

    c:每隔10秒
    下载病毒作者指定的文件,并用命令行检查系统中是否存在共享
    共存在的话就运行net share命令关闭admin$共享

    d:每隔6秒
    删除安全软件在注册表中的键值

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    RavTask
    KvMonXP
    kav
    KAVPersonal50
    McAfeeUpdaterUI
    Network Associates Error Reporting Service
    ShStartEXE
    YLive.exe
    yassistse

    并修改以下值不显示隐藏文件
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
    CheckedValue -> 0x00

    删除以下服务:
    navapsvc
    wscsvc
    KPfwSvc
    SNDSrvc
    ccProxy
    ccEvtMgr
    ccSetMgr
    SPBBCSvc
    Symantec Core LC
    NPFMntor
    MskService
    FireSvc

    e:感染文件
    病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部
    并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址,
    用户一但打开了该文件,IE就会不断的在后台点击写入的网址,达到
    增加点击量的目的,但病毒不会感染以下文件夹名中的文件:
    WINDOW
    Winnt
    System Volume Information
    Recycled
    Windows NT
    WindowsUpdate
    Windows Media Player
    Outlook Express
    Internet Explorer
    NetMeeting
    Common Files
    ComPlus Applications
    Messenger
    InstallShield Installation Information
    MSN
    Microsoft Frontpage
    Movie Maker
    MSN Gamin Zone

    g:删除文件
    病毒会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件
    使用户的系统备份文件丢失.

    还搜索到一篇比较全面的杀毒方法,与大家分享一下
    成功清除“熊猫烧香”的病毒

    终于搞定这个强悍的病毒!
    公司病毒泛滥..很多同事都中毒了..今天都忙着杀毒..哈哈..

    木马名称:setup.exe
    木马大小:91,648字节
    所在位置:由C至Z盘的根目录下

    附带文件:autorun.inf
    文件内容:
    [AutoRun]
    OPEN=setup.exe
    shellexecute=setup.exe
    shell\Auto\command=setup.exe
    所在位置:由C至Z盘的根目录下

    木马名称:spoclsv.exe
    木马大小:91,648字节
    所在位置:C:\windows\system32\drivers\

    木马特征:该木马病毒利用微软IE漏洞(IE7.0也未被幸免)通过网站传播,中了此木马的电脑,会有以下特征:
    1、在任务管理器里有spoclsv.exe文件进程。
    2、在每个盘符的根目录下面生成以上的setup.exe和autorun.inf两个文件,当用户打开电脑的任意一个盘,即执行该木马病毒。
    3、该木马会强制关闭用户打开的“任务管理器”。
    4、该木马会强制关闭用户打开的“注册表编辑器(regedit)”、“系统配置实用程序(msconfig)”、IceSword等程序文件。
    5、该木马会强制关闭用户电脑上安装的防病毒及网络监控软件,其中包括Symantec的norton企业版。
    6、该木马修改注册表文件,在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下生成"svcshare=C:\WINDOWS\system32\drivers\spoclsv.exe”的字符串值,修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000000。
    7、该木马会删除电脑默认的共享目录。

    另外该木马还会删除并感染.com、.pif、.scr、.exe文件,并生成一个以原文件名.exe.exe文件或.exe的烧香熊猫图标文件,并会寻找并删除.gho备份文件。

    该病毒会禁用一系列服务:
    Schedule
    sharedaccess
    RsCCenter
    RsRavMon
    RsCCenter
    RsRavMon
    KVWSC
    KVSrvXP
    kavsvc
    AVP
    McAfeeFramework
    McShield
    McTaskManager
    navapsvc
    wscsvc
    KPfwSvc
    SNDSrvc
    ccProxy
    ccEvtMgr
    ccSetMgr
    SPBBCSvc
    Symantec Core LC
    NPFMntor
    MskService
    FireSvc

    还会删除若干安全软件启动项信息:
    RavTask
    KvMonXP
    kav
    KAVPersonal50
    McAfeeUpdaterUI
    Network Associates Error Reporting Service
    ShStatEXE
    YLive.exe
    yassistse

    并且尝试使用弱密码访问局域网内其它计算机:
    password
    harley
    golf
    pussy
    mustang
    shadow
    fish
    qwerty
    baseball
    letmein
    ccc
    admin
    abc
    pass
    passwd
    database
    abcd
    abc123
    sybase
    123qwe
    server
    computer
    super
    123asd
    ihavenopass
    godblessyou
    enable
    alpha
    1234qwer
    123abc
    aaa
    patrick
    pat
    administrator
    root
    sex
    god
    foobar
    secret
    test
    test123
    temp
    temp123
    win
    asdf
    pwd
    qwer
    yxcv
    zxcv
    home
    xxx
    owner
    login
    Login
    love
    mypc
    mypc123
    admin123
    mypass
    mypass123
    Administrator
    Guest
    admin
    Root


    解决办法:
    1、拔掉网线断开网络,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:\WINDOWS\explorer.exe,确定。
    2、点击开始,运行,输入cmd回车,输入以下命令:
    del c:\setup.exe /f /q
    del c:\autorun.inf /f /q
    如果你的硬盘有多个分区,请逐次将c:改为你实际拥有的盘符(C盘-->Z盘)。上述两个木马文件为只读隐藏,会修改Windows属性,使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。
    3、进入注册表,删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。
    4、删除C:\windows\system32\drivers\spoclsv.exe
    5、修复或重新安装防病毒软件并升级病毒库,彻底全面杀毒,清除恢复被感染的.exe文件。
    6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com,具体方法如下:
    打开C:\WINDOWS\system32\drivers\etc\host文件,添加修改如下格式:

    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a '#' symbol.
    #
    # For example:
    #
    #     102.54.94.97   rhino.acme.com       # source server
    #     38.25.63.10   x.acme.com         # x client host
    127.0.0.1     localhost
    127.0.0.1     *.3322.org
    127.0.0.1     *.sz45.com

    7、修复文件夹选项的“显示所有文件及文件夹”的方法:

    A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。


    如果你设置仍起不了作用,那么接下来看。
    有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。(正常如图,被修复后看不见图中标注的项)

    针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "Text"="@shell32.dll,-30501"
    "Type"="radio"
    "CheckedValue"=dword:00000002
    "ValueName"="Hidden"
    "DefaultValue"=dword:00000002
    "HKeyRoot"=dword:80000001
    "HelpID"="shell.hlp#51104"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "Text"="@shell32.dll,-30500"
    "Type"="radio"
    "CheckedValue"=dword:00000001
    "ValueName"="Hidden"
    "DefaultValue"=dword:00000002
    "HKeyRoot"=dword:80000001
    "HelpID"="shell.hlp#51105"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
    "Type"="checkbox"
    "Text"="@shell32.dll,-30508"
    "WarningIfNotDefault"="@shell32.dll,-28964"
    "HKeyRoot"=dword:80000001
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "ValueName"="ShowSuperHidden"
    "CheckedValue"=dword:00000000
    "UncheckedValue"=dword:00000001
    "DefaultValue"=dword:00000000
    "HelpID"="shell.hlp#51103"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
    @=""


    具体操作方法:
    1)通过记事本新建一个文件
    2)将以上内容复制到新建的记事本文件中
    3)通过记事本文件菜单另存为show.reg
    4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。

    注意:以上方法对win2000和XP有效

    B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL,将CheckedValue键值修改为1

    但可能依然没有用,隐藏文件还是没有显示,这是因为病毒在修改注册表达到隐藏文件目的之后,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!

    方法:删除此CheckedValue键值,单击右键 新建Dword值,命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩

    该用户从未签到

    2
    发表于 2007-1-10 14:22:00 | 只看该作者
    各个名字发靥的很啊。。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    3
    发表于 2007-1-10 16:13:00 | 只看该作者
    回复 支持 反对

    使用道具 举报

    头像被屏蔽
  • TA的每日心情
    开心
    2014-9-13 00:34
  • 签到天数: 1 天

    [LV.1]初来乍到

    4
    发表于 2007-1-14 11:27:00 | 只看该作者

    路过~~~~~~~~~~~~~~~~~~

    回复 支持 反对

    使用道具 举报

    该用户从未签到

    5
    发表于 2007-1-15 20:20:00 | 只看该作者
    熊猫来了 
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    6
    发表于 2007-1-16 13:38:00 | 只看该作者

    遇见过次

    满屏幕都是一熊猫手里拿着香在拜啊拜啊的

    我还以为遇鬼的捏

    回复 支持 反对

    使用道具 举报

    该用户从未签到

    7
    发表于 2007-1-22 13:03:00 | 只看该作者
    看了头晕
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    8
    发表于 2007-1-29 20:26:00 | 只看该作者
    郁闷呀,是病毒呀,我以为是杀病毒的呀
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    9
    发表于 2007-1-30 21:37:00 | 只看该作者
    以下是引用5momo在2007-1-16 13:38:00的发言:

    遇见过次

    满屏幕都是一熊猫手里拿着香在拜啊拜啊的

    我还以为遇鬼的捏

    奶奶的 我们谁上黄 网   就提醒会有熊猫大哥来拜年......

    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表