最近出现新的病毒名为熊猫烧香,危害较大,感染后所有EXE可执行文件图标变成一个烧香的熊猫,大家电脑如出现此现象可认真阅读以下文章: 一、病毒描述: 含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。 二、病毒基本情况: [文件信息] 病毒名: Virus.Win32.EvilPanda.a.ex$ 大 小: 0xDA00 (55808), (disk) 0xDA00 (55808) SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D 壳信息: 未知 危害级别:高 病毒名: Flooder.Win32.FloodBots.a.ex$ 大 小: 0xE800 (59392), (disk) 0xE800 (59392) SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D 壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24 危害级别:高 三、病毒行为: Virus.Win32.EvilPanda.a.ex$ : 1、病毒体执行后,将自身拷贝到系统目录: %SystemRoot%system32FuckJacks.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Userinit "C:WIN2Ksystem32SVCH0ST.exe" 2、添加注册表启动项目确保自身在系统重启动后被加载: 键路径:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 键名:FuckJacks 键值:"C:WINDOWSsystem32FuckJacks.exe" 键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 键名:svohost 键值:"C:WINDOWSsystem32FuckJacks.exe" 3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。 C:autorun.inf 1KB RHS C:setup.exe 230KB RHS 4、关闭众多杀毒软件和安全工具。 5、连接*****.3322.org下载某文件,并根据该文件记录的地址,下载某ddos程序,下载成功后执行该程序。 6、刷新bbs.qq.com,某QQ秀链接。 7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。 Flooder.Win32.FloodBots.a.ex$ : 1、病毒体执行后,将自身拷贝到系统目录: %SystemRoot%SVCH0ST.EXE %SystemRoot%system32SVCH0ST.EXE 2、该病毒后下载运行后,添加注册表启动项目,确保自身在系统重启动后被加载: 键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 键名:Userinit 键值:"C:WINDOWSsystem32SVCH0ST.exe" 3、尝试关闭窗口 QQKav QQAV 天网防火墙进程 VirusScan 网镖杀毒 毒霸 瑞星 江民 黄山IE 木马清道夫 木?清道夫 QQ病毒注册表编辑器 系统配置实用程序 卡巴斯基反病毒 Symantec AntiVirus Duba Windows 任务管理器 esteem procs 绿鹰PC 密码防盗 噬菌体 木马辅助查找器 System Safety Monitor Wrapped gift Killer Winsock Expert 游戏木马检测大师 小沈Q盗杀手 pjf(ustc) IceSword 4、尝试关闭进程 Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp KvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe 删除以下启动项 SOFTWAREMicrosoftWindowsCurrentVersionRunRavTask SOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXP SOFTWAREMicrosoftWindowsCurrentVersionRunkav SOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50 SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUI SOFTWAREMicrosoftWindowsCurrentVersionRunNetwork Associates Error Reporting ServiceSOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXE SOFTWAREMicrosoftWindowsCurrentVersionRunYLive.exe SOFTWAREMicrosoftWindowsCurrentVersionRunyassistse 禁用以下服务 kavsvc AVP AVPkavsvc McAfeeFramework McShield McTaskManager McAfeeFramework McShield McTaskManager navapsvc KVWSC KVSrvXP KVWSC KVSrvXP Schedule sharedaccess RsCCenter RsRavMon RsCCenter RsRavMon wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvc 搜索感染除以下目录外的所有.EXE/.SCR/.PIF/.COM文件,并记有标记 WINDOWS Winnt System Volume Information Recycled Windows NT Windows Update Outlook Express NetMeeting Common Files ComPlus Applications Messenger InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gamin Zone 删除.GHO文件 添加以下启动位置 Documents and SettingsAll UsersStart MenuProgramsStartup Documents and SettingsAll Users「开始」菜单程序启动 WINDOWSStart MenuProgramsStartup WINNTProfilesAll UsersStart MenuProgramsStartup 监视记录QQ和访问局域网文件记录:c:test.txt,试图QQ消息传送 试图用以下口令访问感染局域网文件(GameSetup.exe) 1234 password …… admin Root 所有根目录及移动存储生成 X:setup.exe X:autorun.inf [AutoRun] OPEN=setup.exe shellexecute=setup.exe shellAutocommand=setup.exe 删除隐藏共享 cmd.exe /c net share $ /del /y cmd.exe /c net share admin$ /del /y cmd.exe /c net share IPC$ /del /y 创建启动项: SoftwareMicrosoftWindowsCurrentVersionRun svcshare=指向%system32%driversspoclsv.exe 禁用文件夹隐藏选项 SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALLCheckedValue |
正在阅读:熊猫烧香图标病毒详解熊猫烧香图标病毒详解
2017-03-14 16:53
出处:其他
责任编辑:lixianmei
- 软件版本:合集
- 软件大小:126KB
- 软件授权:免费
- 适用平台: Win2003 Win9X Win2000 WinXP
- 下载地址://dl.pconline.com.cn/html_2/1/66/id=41497&pn=0.html