查杀蠕虫病毒“熊猫烧香”
“熊猫烧香”病毒清理方法及专杀工具下载今天已是第二次中招了,中了以后江民、瑞星、金山还有卡巴根本查不到有病毒,McAfee有所觉察但还是保持沉默。偶连续两次中招都是用IE6时中的,在使用IE7时没中过,建议安装IE7。这次是这家伙的最新变种,系统中所有.exe可执行文件都被改成熊猫举着三根香的模样,杀毒监控被强行关闭等等的异常现象,下面是偶手工加专杀工具清除的方法让“小黑熊”无处藏身,彻底清除这个无聊、烦人的黑东东。
切记。中标后千万不要重新启动机器,重起会进不了系统,DOS也进不去,而且病毒会破坏GHOST文件,也就是说用 GHOST 恢复系统都恢复不了。只有一条路__杀、杀、杀 。。。。。。
http://www.mumoo.com/cowshed/UpFile/UpAttachment/2007-1/20071494148.gif
http://www.x5dj.com//UserShowcase/Download.aspx?
http://bbs.366tian.net/attachments/day_061211/0NzDqA==_7YYDd8h4esyg_wscbv83KjnNv.gif
http://www.x5dj.com//UserShowcase/Download.aspx?
这个名为\\"熊猫烧香\\"(Worm.WhBoy.h)的蠕虫病毒正在互联网上疯狂传播,该病毒为\\"威金\\"蠕虫病毒新变种,自从去年被截获以来,已经感染了超过30万台电脑,众多网民相继受到其危害。
目前该病毒正处于急速变种期,仅12月份至今,变种数量已达30余种,变种速度之快,影响范围之广,与06年横行于局域网的\\"维金\\"不相上下。
病毒描述
\\"熊猫烧香\\"蠕虫病毒可以将自身拷贝至系统目录,同时修改注册表将自身设置为开机启动项,并遍历各个驱动器,将自身写入磁盘根目录下,增加一个Autorun.inf文件,使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染,同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。
\\"熊猫烧香\\"蠕虫不但可以对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复;同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
中毒症状
被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
除了可执行文件外观上的变换外,系统蓝屏、频繁重启、硬盘数据被破坏等等现象均有发生,而且,中毒的机器系统运行异常缓慢,且很多应用软件无法使用,同时该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。
病毒行为
目前常见的\\"熊猫烧香\\"病毒有:Virus.Win32.EvilPanda.a.ex$和Flooder.Win32.FloodBots.a.ex$。
Virus.Win32.EvilPanda.a.ex$:
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\\system32\\FuckJacks.exe
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run Userinit \\"C:\\WIN2K\\system32\\SVCH0ST.exe\\"
2、添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键名:FuckJacks
键值:\\"C:\\WINDOWS\\system32\\FuckJacks.exe\\"
键路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键名:svohost
键值:\\"C:\\WINDOWS\\system32\\FuckJacks.exe\\"
3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统。
C:\\autorun.inf 1KB RHS
C:\\setup.exe 230KB RHS
4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件,并根据该文件记录的地址,去www.****.com下载某ddos程序,下载成功后执行该程序。
6、刷新bbs.qq.com,某QQ秀链接。
7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。
Flooder.Win32.FloodBots.a.ex$ :
1、病毒体执行后,将自身拷贝到系统目录:
%SystemRoot%\\SVCH0ST.EXE
%SystemRoot%\\system32\\SVCH0ST.EXE
2、该病毒后下载运行后,添加注册表启动项目确保自身在系统重启动后被加载:
键路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
键名:Userinit
键值:\\"C:\\WINDOWS\\system32\\SVCH0ST.exe\\"
3、连接ddos2.****.com,获取攻击地址列表和攻击配置,并根据配置文件,进行相应的攻击。
查杀方案
1. 断开网络
2. 结束病毒进程
%System%\\drivers\\spoclsv.exe
3. 删除病毒文件:
%System%\\drivers\\spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的\\"打开\\"进入分区根目录,"注意:一定是右键,否则前功尽弃."删除根目录下的文件:
X:\\setup.exe
X:\\autorun.inf
5. 删除病毒创建的启动项:
\\"svcshare\\"=\\"%System%\\drivers\\spoclsv.exe\\"
6. 修改注册表设置,恢复\\"显示所有文件和文件夹\\"选项功能:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer
\\Advanced\\Folder\\Hidden\\SHOWALL]
\\"CheckedValue\\"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
9.下载最新专杀工具查杀,查杀前请升级专杀工具已确保查杀最新变种。
为什么无法清除干净,如何彻底查杀:
有人使用了超级巡警和巡警之熊猫专杀后,将一个机子杀干净了,但不久又发现感染了,这是因为,熊猫烧香在感染了一个系统后,开启一个单独的叱探?蠧类网络扫描感染,访问同网段的139/445端口,进行IPC$密码猜解和查找共享,并感染共享中的文件。这样只要网络内有一个机子还有存活的熊猫烧香病毒,就依然存在再次感染全网的可能。
许多朋友网络内都是有文件共享服务器,电影服务器,而许多网友的网络内的人都为了方便系统登录口令都是空口令,或者是123这样的简单口令。
局域网中有个IE没有打病毒,浏览挂了熊猫烧香病毒的网站,并不知情。
查杀的办法是:
1、断开网络,使用超级巡警之熊猫烧香专杀,每个机子全面杀毒。
2、修改口令,取消本地共享目录。
3、查杀完成后使用超级巡警的补丁检查检查系统没有打的补丁,及时打上补丁,尤其是IE补丁。
http://www.x5dj.com//UserShowcase/Download.aspx?
http://www.x5dj.com//UserShowcase/Download.aspx?
http://www.x5dj.com//UserShowcase/Download.aspx?
http://www.x5dj.com//UserShowcase/Download.aspx?
http://www.x5dj.com//UserShowcase/Download.aspx?
对于已经感染熊猫烧香病毒的用户,请下载专杀工具查杀:
下载最新专杀工具不断更新中
超级巡警(Anti-Spyware toolkit) 2.7.0标准版内置了最新专杀内置了最新[熊猫烧香病毒专杀 V1.6]绿色可升级讯雷下载
http://38x.xdowns.com/UploadFile/2007-1/ast.rar
超级巡警(Anti-Spyware toolkit) 标准版官方下载需注册才可升级
http://www.dswlab.com/dow/d1.html
超级巡警之熊猫烧香病毒专杀 V1.6正式版
http://killer.9i3g.cn/download/Pandakiller.rar
霏凡熊猫烧香专杀工具_V1.07
http://bbs.366tian.net/attachment.php?aid=177926
瑞星最新熊猫烧香专杀工具
http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
江民最新熊猫烧香专杀工具
http://www.mumoo.com/cowshed/upfile/up1/jmzs.zip
“武汉男生”(熊猫烧香)病毒专杀工具
http://tool.duba.net/zhuansha/253.shtml
熊猫烧香变种感染exe病毒清除工具尼姆雅蠕虫专杀.rar 登陆后下载
对于未感染的用户,专家建议,不要登陆不良网站,及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑,同时上网时应采用“杀毒软件+防火墙”的立体防御体系。另外,如果你只是一般的家庭用户,设置一下“本地连接”的属性,把网络客户端和文件共享取消掉,会安全很多,对你浏览网页一点影响也没有。偶连续两次中招都是用IE6时中的,在使用IE7时没中过,建议安装IE7。 笑的淫荡
页:
[1]