最近出現新的病毒名為熊貓燒香,危害較大,感染后所有EXE可執行文件圖標變成一個燒香的熊貓,大家電腦如出現此現象可認真閱讀以下文章:
一、病毒描述:
含有病毒體的文件被運行后,病毒將自身拷貝至系統目錄,同時修改注冊表將自身設置為開機啟動項,并遍歷各個驅動器,將自身寫入磁盤根目錄下,增加一個Autorun.inf文件,使得用戶打開該盤時激活病毒體。隨后病毒體開一個線程進行本地文件感染,同時開另外一個線程連接某網站下載ddos程序進行發動惡意攻擊。
二、病毒基本情況:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大 小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
殼信息: 未知
危害級別:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
殼信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害級別:高
三、病毒行為:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒體執行后,將自身拷貝到系統目錄:
%SystemRoot%system32FuckJacks.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Userinit "C:WIN2Ksystem32SVCH0ST.exe"
2、添加注冊表啟動項目確保自身在系統重啟動后被加載:
鍵路徑:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
鍵名:FuckJacks
鍵值:"C:WINDOWSsystem32FuckJacks.exe"
鍵路徑:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
鍵名:svohost
鍵值:"C:WINDOWSsystem32FuckJacks.exe"
3、拷貝自身到所有驅動器根目錄,命名為Setup.exe,并生成一個autorun.inf使得用戶打開該盤運行病毒,并將這兩個文件屬性設置為隱藏、只讀、系統。 C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS
4、關閉眾多殺毒軟件和安全工具。
5、連接*****.3322.org下載某文件,并根據該文件記錄的地址,下載某ddos程序,下載成功后執行該程序。
6、刷新bbs.qq.com,某QQ秀鏈接。
7、循環遍歷磁盤目錄,感染文件,對關鍵系統文件跳過,不感染Windows媒體播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒體執行后,將自身拷貝到系統目錄:
%SystemRoot%SVCH0ST.EXE
%SystemRoot%system32SVCH0ST.EXE
2、該病毒后下載運行后,添加注冊表啟動項目,確保自身在系統重啟動后被加載:
鍵路徑:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
鍵名:Userinit
鍵值:"C:WINDOWSsystem32SVCH0ST.exe"
3、嘗試關閉窗口
QQKav
QQAV
天網防火墻進程
VirusScan
網鏢殺毒
毒霸
瑞星
江民
黃山IE
超級兔子
優化大師
木馬克星
木馬清道夫
木馬清道夫
QQ病毒注冊表編輯器
系統配置實用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任務管理器
esteem procs
綠鷹PC
密碼防盜
噬菌體
木馬輔助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戲木馬檢測大師
小沈Q盜殺手
pjf(ustc)
IceSword
4、嘗試關閉進程
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
刪除以下啟動項
SOFTWAREMicrosoftWindowsCurrentVersionRunRavTask
SOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXP
SOFTWAREMicrosoftWindowsCurrentVersionRunkav
SOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50
SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUI
SOFTWAREMicrosoftWindowsCurrentVersionRunNetwork Associates Error Reporting
ServiceSOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXE
SOFTWAREMicrosoftWindowsCurrentVersionRunYLive.exe
SOFTWAREMicrosoftWindowsCurrentVersionRunyassistse
禁用以下服務
kavsvc
AVP
AVPkavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework McShield
McTaskManager
navapsvc
KVWSC
KVSrvXP
KVWSC
KVSrvXP
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec
Core LC
NPFMntor
MskService
FireSvc
搜索感染除以下目錄外的所有.EXE/.SCR/.PIF/.COM文件,并記有標記
WINDOWS
Winnt
System Volume Information
Recycled
Windows NT
Windows Update
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus
Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone
刪除.GHO文件
添加以下啟動位置
Documents and SettingsAll UsersStart MenuProgramsStartup
Documents and SettingsAll Users「開始」菜單程序啟動
WINDOWSStart MenuProgramsStartup
WINNTProfilesAll UsersStart MenuProgramsStartup
監視記錄QQ和訪問局域網文件記錄:c:test.txt,試圖QQ消息傳送
試圖用以下口令訪問感染局域網文件(GameSetup.exe)
1234
password
……
admin
Root
所有根目錄及移動存儲生成
X:setup.exe
X:autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shellAutocommand=setup.exe
刪除隱藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
創建啟動項:
SoftwareMicrosoftWindowsCurrentVersionRun
svcshare=指向%system32%driversspoclsv.exe
禁用文件夾隱藏選項
SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced
FolderHiddenSHOWALLCheckedValue
新聞熱點
疑難解答
