逐梦论坛's Archiver

shillan 发表于 2006-12-19 17:13

熊猫烧香病毒专杀

熊猫烧香病毒11月快速蔓延,至今已经出现了十几个变种。可见其破坏范围之广!含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

[b]熊猫烧香病毒专杀解决方案[/b]

      第一步打补丁:下载firefox,12月份新的带google上网工具的firefox浏览器已经集成了熊猫烧香病毒的补丁,如果你是电脑高手更应该了解,针对ie7的漏洞,最新firefox已经修补了这些补丁。没有此补丁,杀了病毒还会有,下载后安装并运行一次,自动安装此病毒补丁。官方网站 [url=http://www.mozillafirefox.cn/firefox][color=blue]点击进入[/color][/url] 点右边的“现在就免费的下载”按钮下载。

      第二步:下载超级巡警熊猫烧香病毒专杀工具:[url=http://killer.9i3g.cn/download/pandakiller.rar][color=blue]点击下载[/color][/url]。

      超级巡警熊猫烧香专杀工具是目前唯一一款可以查杀所有熊猫烧香变种病毒的工具,实现检测和清除、修复感染熊猫烧香病毒的文件,对熊猫烧香的未知变种具备侦测和处理能力,可以处理目前所有的熊猫烧香病毒家族和相关变种。

      熊猫烧香病毒中毒后图标会变成如下样式:
[img]http://www.zhumeng.org/attachments/fileType/jpg.gif[/img]此主题相关图片
[img]http://www.zhumeng.org/attachments/2006/12/19/171054.jpg[/img]

      使用熊猫烧香病毒专杀 后恢复正常:
[img]http://www.zhumeng.org/attachments/fileType/jpg.gif[/img]此主题相关图片
[img]http://www.zhumeng.org/attachments/2006/12/19/171150.jpg[/img]

[b]更专业分析:看不懂就算了[/b]

熊猫烧香病毒分析与解决方案

killer (killer<2>uid0.net)
date:2006-11-20

一、病毒描述:

含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况:

[文件信息]

病毒名: virus.win32.evilpanda.a.ex$
大 小: 0xda00 (55808), (disk) 0xda00 (55808)
sha1 : f0c3da82e1620701ad2f0c8b531eebea0e8af69d
壳信息: 未知
危害级别:高

病毒名: flooder.win32.floodbots.a.ex$
大 小: 0xe800 (59392), (disk) 0xe800 (59392)
sha1 : b71a7ef22a36dbe27e3830888dafc3b2a7d5da0d
壳信息: upx 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高

三、病毒行为:

virus.win32.evilpanda.a.ex$ :

1、病毒体执行后,将自身拷贝到系统目录:

%systemroot%\system32\fuckjacks.exe

hkey_local_machine\software\microsoft\windows\currentversion\run userinit "c:\win2k\system32\svch0st.exe"
2、添加注册表启动项目确保自身在系统重启动后被加载:

键路径:hkey_current_user\software\microsoft\windows\currentversion\run
键名:fuckjacks
键值:"c:\windows\system32\fuckjacks.exe"

键路径:hkey_local_machine\software\microsoft\windows\currentversion\run
键名:svohost
键值:"c:\windows\system32\fuckjacks.exe"

3、拷贝自身到所有驱动器根目录,命名为setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。

c:\autorun.inf 1kb rhs
c:\setup.exe 230kb rhs

4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某qq秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染windows媒体播放器、msn、ie 等程序。

flooder.win32.floodbots.a.ex$ :

1、病毒体执行后,将自身拷贝到系统目录:

%systemroot%\svch0st.exe
%systemroot%\system32\svch0st.exe

2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:

键路径:hkey_local_machine\software\microsoft\windows\currentversion\run
键名:userinit
键值:"c:\windows\system32\svch0st.exe"

3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。

配置文件如下:
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000

四、解决方案:

1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序,否则系统响应很慢。
3、中止病毒进程和删除启动项目请看论坛相关图片。

转自:http://hi.baidu.com/zhifu124/blog/item/32ca362e470de9504fc22635.html

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.